通常,当处理用户凭据时,我会将其存储在本地设备上,而不是存储在服务器上,因为这会产生不必要的责任。
例如,在 iPhone 上,我们有
- 邮件(默认)
- Google 提供的 Gmail
- Readdle 的 Spark
我今天与 Google Apps 支持人员进行了交谈,他们说使用他们的应用时,所有身份验证凭据都存储在 Gmail 帐户的本地。我不确定 Apple 默认邮件客户端如何存储凭据,欢迎提供意见!另一方面,Spark 表示他们的“服务器需要检查并从您的电子邮件帐户发送电子邮件才能使 [某些功能] 正常工作。为此,我们需要存储您的电子邮件帐户的访问令牌。”完整故事这里。
现在我很好奇
- 如果是这样,他们真的需要将我的凭证存储在 iPhone 上的服务器上吗?这仅适用于 iPhone 还是也适用于 Android?
- 我启用了双重身份验证并设置了应用密码,应用密码会保存吗?在这种情况下,这是我的 OAuth 令牌吗?
- 这似乎意味着我必须对第三方应用程序给予极大的信任,并且相信他们的服务器不会被黑客入侵?
非常感谢,如果我没有在正确的群组中发帖,我真诚地道歉,请给我指明正确的方向,我将删除此帖子。
第三方移动邮件客户端如何工作?
答案1
这不完全是一个答案,但看起来这个问题是交叉发布的,这里有答案:https://security.stackexchange.com/questions/134627/3rd-party-mail-clients-on-iphone-android-and-credential-storage