Как вы обеспечиваете безопасное хранение Access Token вашим партнером? - PullRequest
0 голосов
/ 29 апреля 2019

В мире открытого API токены являются ключом двери (выдается любому, у кого есть действительный идентификатор клиента и секрет).Токены позволяют любому, у кого они есть, получить доступ к ресурсу.Таким образом, они так же важны, как и пароли.

Пример : Собственное приложение стороннего производителя, желающее получить доступ к вашим API.Приложение использует «Client Id and Secret» для запроса «токена доступа».Этот токен доступа будет использоваться для последующих вызовов API.

Концерн : обычно «токены доступа» имеют более длинный TTL.Когда они хранятся на мобильном устройстве мобильного приложения / клиента и кто-то получает к ним доступ, они смогут воспроизводить вызовы API из другого источника, используя этот токен доступа и URI API.

  1. Как вы предотвращаете такие атаки воспроизведения (когда токен доступа скомпрометирован из стороннего приложения) для вызовов API?
  2. Какую безопасную практику вы соблюдаете, чтобы ваши потребители / клиенты могли безопасно хранить «токены доступа»?
...