移动应用程序上的 OAuth

Question

我想创建一个利用 Facebook 和 Twitter 的 Android 应用程序。我本来计划使用 OAuth，但我想得越多，我就越不相信这是最好的解决方案。我关心的是消费者密钥，它用于验证应用程序。我可以安全地存储访问令牌的密钥，因为如果密钥被泄露，用户只需要重新进行身份验证，他们就会拥有一个新密钥；但是，如果消费者秘密受到泄露，我的应用程序作为一个整体就会在所有设备上受到损害，因为它是特定于应用程序的，而不是特定于用户的。这对于网络应用程序来说很好，因为它存储在安全的中央服务器上，但对于安装在多个设备中的移动应用程序来说，这似乎很危险。我不喜欢将消费者密钥放在许多设备上等待被泄露的想法。所以，我想我的问题是我应该使用 OAuth 还是有其他更好的方法。

Answer 1

我们使用 OAuth 没有任何问题。另请参阅此处：

http://blog。 oauth.net/2009/04/22/acknowledgement-of-the-oauth-security-issue/