GData, OAuth и iPhone - поддержание безопасности при работе с токенами доступа

Question

Я хотел бы получить токен доступа OAuth на стороне клиента (iPhone) и отправить токен доступа обратно на мой сервер для выполнения запросов gdata от имени пользователя. В основном мой вопрос, это безопасно? Не может ли кто-нибудь понюхать соединение, извлечь токен доступа и использовать его злонамеренно?

Google позволяет аутентифицировать «незарегистрированные» приложения, используя «анонимный» в качестве ключа и секретного ключа в режиме подписи HMAC-SHA1, что я и делаю. Затем я передаю полученный токен доступа на стороне сервера, чтобы выполнить мои манипуляции с данными. Это работает, и это здорово, но у меня есть проблемы с безопасностью по поводу решения.

Спасибо за ваши комментарии!

Answer 1

Безопасен ли ваш сервер? Вы отправляете запросы, используя https? Кроме того, регистрация, чтобы получить фактический потребительский ключ / секрет из вопроса? Токен доступа подходит только для ключа / секрета потребителя, который его сгенерировал. Если бы вы зарегистрировались, это добавило бы еще один уровень безопасности (то, что ваш потребительский ключ / секрет был бы известен только вам), но я всегда рекомендовал бы, чтобы связь между вашим приложением и вашим сервером осуществлялась через безопасное соединение.