Этот вопрос вряд ли связан с AppLinks assetslinks.json не выглядит для проверки
Я внедряю приложения Oauth2 на Android. Я хотел бы использовать SSO (единый вход), и у меня есть опасения по поводу AppLink для защиты кода авторизации.
Собственное приложение через браузер инициирует запрос авторизации, а затем получает ответ авторизации, содержащий код авторизации. Согласно RFC6749#section-4.1.2, код передается внутри URL:
HTTP/1.1 302 Found
Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz
Код авторизации — это конфиденциальная часть информации, поскольку она позволяет клиенту получить токен доступа и токен обновления, а затем получить доступ к защищенному ресурсу.
Чтобы защитить этот код, собственное приложение должно реализовывать перенаправления схемы https (RFC8252#section-7.2 и раздел-8.1). На Android это необходимо сделать с помощью файла assetslinks.json.
Но, согласно соответствующему вопросу, связано вверху, ссылки приложений на Android кажутся небезопасными на 100%, поскольку ОС может не проверять схему https.
В этом контексте, как мы должны реализовать ловушку кода авторизации Oauth2?
РЕДАКТИРОВАТЬ
По словам @benjamin anwser, AppLink не предназначен для обеспечения безопасности. Но вариант использования связанной угрозы следующий: устанавливается вредоносное приложение, которое использует «SSO Cookie», чтобы получить Auth Code
и обменять его на AT+RT
. Мне кажется, что ничто в процессе не может предотвратить этот случай: если applink не для безопасности, как сервер авторизации может узнать, что это приложение является вредоносным приложением?
Примечание. Под SSO-Cookie я имею в виду использование CustomTab для выполнения единого входа на Android.