如何为本机应用程序场景保持 AD 客户端 ID 和客户端机密的安全

How to keep AD client-id and client-secret safe for native apps scenario

关于客户端应用程序场景(Store Apps、WPF 或 WF),哪种方案是尽可能确保我们的 AD client-id 和 client-secret 安全的最佳解决方案?我在网上浏览了一下,发现一个信息说将我们的app secret原始字符串存储在客户端应用程序源代码中不是很安全,因为有人可以用客户端secret反编译我们的app和运行。我想知道针对此问题的最佳建议和解决方法。

我认为您无法在不损害安全性的情况下解决它。

最佳做法是在根本不需要客户端密码的情况下使用 oauth2.0 implicit grant flow。一旦用户登录并授予您的应用程序访问权限,使用此流程将 return 为您提供一个短期访问令牌(作为 URL 查询字符串哈希段)。