OAuth - 防止共享消费者密钥/秘密和访问令牌列表的安全性

Question

我一直致力于建立一个服务提供商，并发现，要代表用户发出请求，似乎需要的只是消费者密钥/秘密和令牌密钥/秘密。

是什么阻止消费者向我的服务提供商注册，让一些用户授权访问他们的某些数据，然后将访问令牌和消费者信息提供给第三方？

这是否归结为信任问题，我们必须相信我们的消费者不会这样做？我们有什么方法可以通过监控来阻止此类活动吗？我们希望提供 OAuth 解决方案，但我们不想过度担心恶意消费者。

感谢您的任何见解。

Answer 1

Twitter 的 OAuth 实现涉及四种令牌。

1. 消费者密钥
2. 消费者密钥秘密
3. OAuth 令牌
4. Oauth 令牌秘密

在 Web 应用程序中，最终用户永远无法访问令牌 1 和 2。 2 因为它们永远不会传输给客户端。与 Twitter API 的通信是服务器到服务器的。在这种情况下，风险较小。

对于桌面应用程序，“消费者”密钥通常以某种方式嵌入到二进制文件中。这是 Twitter 的 OAuth 实现中公认的安全问题。一个有决心的人可以反编译/破解/取消混淆任何二进制文件来获取您的消费者密钥。

因此，回答您的问题：就桌面/移动应用程序而言，这绝对是一个信任问题。对于网络应用程序来说，情况就不那么严重了。