Как защититься от получения токенов от имени моего ОК-приложения чужими мобильными приложениями?

Question

[andrey1931]

У меня есть мобильное приложением на Android. В нём я получаю ОК-токен средствами ОК Android SDK. Чтобы получить ОК-токен мне нужно прописать в моём мобильном приложении app_id и app_public_key.

Что остановит человека, который достанет credentials из моего приложения и начнёт использовать в своём?

У ВК, FB и GOOGLE от этого защищает связь Oauth-приложения с fingerprint мобильного приложения. Но в Одноклассниках я ничего подобного не вижу.

Answer 1

[Vjacheslav Kanivetc]

Что вы имеете ввиду? OAUTH - открытый протокол.
Клиентский OAUTH подразумевает только передачу валидного client_id, который не является секретным и может быть подменён.
В случае если хотите гарантировать что как ваше приложение авторизуетесь только вы, то используете серверный OAUTH https://apiok.ru/ext/oauth/server . Но он требует подпись секретным ключем приложения, который на клиенте легко отловить. Поэтому такого варианта в ok-android-sdk не встроено, при использовании на клиентах его безопасность иллюзорна.

Второй вариант авторизации - это SSO, когда приложение ОК установлено на устройстве. Подпись вашего приложения там не передается. Но даже если бы передавалась -насколько этой информации можно было бы доверять? И насколько удобно было бы для каждого обновления приложения прописывать новые отпечатки, особенно с учетом того что нет никаких сложностей приложению-злоумышленнику выдавать один из прописанных ранее отпечатков вашего приложения.

В общем суть запроса неясна

PS: Но вы можете защититься сами - делаете приложение, где серверную часть авторизации прогоняете через коммуникацию приложение<->ваш сервер<->сервер ок, при этом не включаете клиентскую OAUTH авторизацию в вашем приложении.

Comments

[andrey1931]

Вопрос был про второй вариант — когда приложение ОК установлено на устройстве.

Серверная авторизация у меня уже давно есть, но хочется добавить и авторизацию через приложение ОК. Т.к. в приложении ОК пользователь уже залогинен, то, для получения токена, ему не придётся вводить логин/пароль как в случае с серверной авторизацией.

Но даже если бы передавалась - насколько этой информации можно было бы доверять? Нет никаких сложностей приложению-злоумышленнику выдавать один из прописанных ранее отпечатков вашего приложения.

Предположим, что ОК проверяет fingerprint приложения запрашивающего клиентский токен. Что тогда нужно сделать злодею, чтобы получить клиентский токен выданный чужому приложению? Злодей может извлечь app_id, app_public_key и fingerprint из моего приложения. Но для получения токена пользователя ему ещё нужен AUTHCODE получаемый из установленного приложения ОК. И если API Одноклассников не предоставляет возможности извлечь этот AUTHCODE или передать произвольный fingerprint, то злодей ничего не сможет сделать.

Вячеслав, спасибо. Вы ответили на мой вопрос, я понял, что пока в API Одноклассников нет нужной мне возможности.

[Vjacheslav Kanivetc]

andrey1931, ну да, то приложение извлечет id/code/fingerpring из вашего приложения
потом запустит SSO авторизацию через приложение ОК и подставит им эти данные (ну ок, fingerprint может быть например md5 от пекеджа, или ключ или еще чего посложнее, но это тоже можно подделать на клиенте)

В результате вашу сессию, положим, он не получит. Но получит новую сессию от имени вашего приложения. В чем защита? Если есть конкретные соображения как обеспечить безопасность _на клиенте_ - пишите, обдумаем.