از سند هویت متقابل مشتری Google:
نشانه های دسترسی متقابل مشتری
[…]
نتیجه این است که اگر یک برنامه Android برای یک دامنه خاص درخواست یک نشانه دسترسی داشته باشد ، و کاربر درخواست کننده قبلاً نیز به وب تأیید کرده است. برنامه در همان پروژه برای همان دامنه ، از کاربر دیگر خواسته نخواهد شد تا تأیید کند. […]
به نظر می رسد این ناامن است. برنامه سمت سرور می تواند فرم امن تری از مجوز OAuth انجام دهد ، زیرا می تواند از راز مشتری خود محافظت کند. جریان OAuth یک برنامه اندیشه از امنیت کمتری برخوردار است ، زیرا یک مهاجم همیشه می تواند باینری را جدا کند و هر نشانه جاسازی شده را دزدی کند.
این سناریویی است که من نگران آن هستم:
- من دو شناسه مشتری را ثبت می کنم ، یکی برای سرور من- برنامه وب سمت و یکی برای برنامه Android من.
- کاربر X به برنامه سمت سرور من اجازه می دهد.
- یک مهاجم نشانه های مربوط به برنامه OAuth برنامه Android را دزدید.
- مهاجم کاربر X را از طریق جریان OAuth با استفاده از [گواهینامههایسرقتشده،وگوگلدرخواستتأییدنمیکند
- در حال حاضر مهاجم یک نشانه دسترسی به حساب کاربر X دارد.
آیا من در اینجا چیزی را اشتباه فهمیده ام؟
