0
Android oauth 2.0 클라이언트 응용 프로그램에 클라이언트 ID 및 클라이언트 암호가 하드 코딩 된 경우. 응용 프로그램을 디 컴파일하여 자격 증명을 검색하는 것은 매우 쉽습니다. 그런 다음 oauth 서버에 이러한 자격 증명을 제공하는 용도는 무엇입니까?Oauth 2.0 클라이언트 ID 및 클라이언트 보안을 보호하는 방법
A
답변
2
client_secret을 비밀로 유지할 수 없기 때문에 client_id 및 client_secret을 기본 앱으로 하드 코딩하여 모바일 앱 시나리오에서 "기밀 클라이언트"라고하는 것을 사용하지 않는 것이 좋습니다.
기본 응용 프로그램은 일반적으로 인증 서버의 공용 클라이언트 (즉, client_secret이없는 응용 프로그램) 일 수 있습니다. 고유 한 리디렉션 URI가 등록되고 PKCE (https://tools.ietf.org/html/rfc7636)와 같은 추가 OAuth 기능이 적용된다는 사실 때문에 보안이 적용됩니다. 네이티브 앱의 OAuth 2.0을 사용에 대한 일반적인 권장 사항