Задать вопрос
@andrey1931

Как защититься от получения токенов от имени моего ОК-приложения чужими мобильными приложениями?

У меня есть мобильное приложением на Android. В нём я получаю ОК-токен средствами ОК Android SDK. Чтобы получить ОК-токен мне нужно прописать в моём мобильном приложении app_id и app_public_key.

Что остановит человека, который достанет credentials из моего приложения и начнёт использовать в своём?

У ВК, FB и GOOGLE от этого защищает связь Oauth-приложения с fingerprint мобильного приложения. Но в Одноклассниках я ничего подобного не вижу.
  • Вопрос задан
  • 179 просмотров
Подписаться 1 Простой Комментировать
Решения вопроса 1
Vjaka
@Vjaka
Платформа игр (Одноклассники)
Что вы имеете ввиду? OAUTH - открытый протокол.
Клиентский OAUTH подразумевает только передачу валидного client_id, который не является секретным и может быть подменён.
В случае если хотите гарантировать что как ваше приложение авторизуетесь только вы, то используете серверный OAUTH https://apiok.ru/ext/oauth/server . Но он требует подпись секретным ключем приложения, который на клиенте легко отловить. Поэтому такого варианта в ok-android-sdk не встроено, при использовании на клиентах его безопасность иллюзорна.

Второй вариант авторизации - это SSO, когда приложение ОК установлено на устройстве. Подпись вашего приложения там не передается. Но даже если бы передавалась -насколько этой информации можно было бы доверять? И насколько удобно было бы для каждого обновления приложения прописывать новые отпечатки, особенно с учетом того что нет никаких сложностей приложению-злоумышленнику выдавать один из прописанных ранее отпечатков вашего приложения.

В общем суть запроса неясна

PS: Но вы можете защититься сами - делаете приложение, где серверную часть авторизации прогоняете через коммуникацию приложение<->ваш сервер<->сервер ок, при этом не включаете клиентскую OAUTH авторизацию в вашем приложении.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы