很多手机 app 用第三方身份提供商通过 OAuth2.0 (或者类似 OpenID Connect 的方式)做登录的,身份提供商一般是允许手机应用登录的时候用 WebView 打开提供商的登录页面的。
WebView 的请求内容可以被手机应用拦截,那用 OAuth2.0 的意义呢,密码不是会被手机应用获取到吗,或者一般像 QQ 这些是靠他们提供的 SDK 保证密码安全的吗?
或者说是客户端类型是 public 的相关的问题, OAuth2.0 协议里认为手机 app 这类的程序是不能保证客户端密码安全的。
public 类型的客户端如果是 web app 还好,它是有一个固定的 URL 的,也就是说通过redirect_uri
能保证只有这个 web app 能获得授权码,或者说也能保证只有这个网站能用这个客户端 ID 。
但是本地应用程序这类的,redirect_uri
也挺不靠谱的:
127.0.0.1:port
之类的重定向 uri 。scheme:XXXXX
。urn:ietf:wg:oauth:2.0:oob
这样的redirect_uri
来打开拷贝授权码的页面。这些客户端在授权服务器上注册的意义似乎并不是很大啊,而且如果客户端 ID (客户端 ID 没有要求要保密)被其他人获取了以后,其他人也很有可能能冒充使用啊。
或者说这情况是不是还是应该让这类本地安装的程序的服务器端来做授权,让程序和他的服务器端来通信更佳合适,或者客户端ID也应该要随机生成不能随意遍历和预测?