手机端 OAuth2 认证

最近思考了一个问题，手机端如何保存 client_secret 的最佳实践 ?

事情是这样的，经过了一年的业务升级迁移，node 做的 gateway 已经逐渐稳定，oauth2 也用 node 写了一个，为了搞明白原理而已。https://www.v2ex.com/t/731916

用户认证是通过 gateway 的，为了避免用户直接拿到 token ，我把 token 放在了 session 里面，这样用户么有明文 token 来请求接口了。

现在突然想到，如果是手机端如何处理呢？如果是用 OAuth2 会发送 client_secre 来换取 AT 。再通过 AT 来请求后端接口获取数据，看了几个 flutter 的例子，client_secret 都是本地储存，因为手机端我认为不被信任，因为可以通过各种手段来获取到 client_secret

搜到的资源如下 :

有个叫做 PKCE 的东西 OAuth2 协议的扩展版本是支持的，这里是产生动态随机码，跳过了 client_secret 要保存在客户端的问题。

但是如果授权服务器不支持 PKCE 的情况下有没有什么最佳实践呢？

nyxsonsleep

2022-07-26 17:49:52 +08:00

没细看，不过你不像让用户不知道 token 是什么是不可能的。本地的东西怎么可能不让用户不知道数据是多少。
---
看法是要么加盐，还要可逆。这样使得用户每次的 token 都会发生变化。s 端还能解密回来知道 token 真实值。再每隔一个周期重新生成 token 。
以上简称为“算法”，也就是 app 与 s 端通讯的签名。
事实上无论哪家的算法都有被破过，但是不是永远被破。
因为破解这玩意是有成本的，比如算法放在 so 里，手机里装 xp 然后慢慢 hook 。虚拟机 dump 吧。汇编慢慢看，这得花多少时间，你的 app 值这个时间吗？
谁有这个闲心每个版本都破一遍？换个算法对于作者什么成本，破解者什么成本？
《没有绝对安全的系统》

qfdk

2022-07-26 19:33:04 +08:00

@nyxsonsleep #8 感谢回复，其实是这样的，我的业务对象是面相高校的，学校有专门的安全专业，在来之前他们的 token 是裸露的，导致很多学校拿着 token 进行“非法请求”、后来经过改进加了谷歌验证码还有 token 非直接留给客户端就少了很多奇怪的请求。我们手机业务是外包给第三方的，我在思考如果让我做一个手机 app 我应该如何处理。
您说的对没有绝对的安全，但是对于这些“闲”学生还是要斗智斗勇的。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/868548