MASWE-0032: 未采用平台提供的身份验证API

Beta 版内容

此内容处于 beta 版，仍在积极开发中，因此随时可能发生变化（例如结构、ID、内容、URL 等）。

发送反馈

占位符漏洞

此弱点尚未创建，目前为占位符。但您可以查看其状态或自行着手处理。如果该问题尚未被分配，您可以请求分配给您，并按照我们的指南提交该弱点的新内容 PR。

查看我们的 MASWE-0032 GitHub 问题

初始描述或提示

换言之，不要自行实现身份验证安全。平台提供的API由对平台安全特性和考量有深入了解的专家设计和实现。这些API通常融入了安全最佳实践，并定期更新以应对新的威胁和漏洞。在移动应用中不使用平台提供的身份验证API可能导致安全漏洞、不一致的用户体验、错过集成机会以及增加开发和维护工作。

相关主题

• 凭据自动填充以避免复制/粘贴
• 正确使用 Android AccountManager（例如，调用基于云的服务且不在设备上存储密码）。在某些 Android 版本中，AccountManager 数据以明文形式存储。
• 在使用 AccountManager 检索账户后使用 CREATOR
• 在 iOS 上使用 Authentication Services 框架
• iOS 密码自动填充简化了登录您域下的网络服务流程。但是，如果您需要登录第三方服务，请改用 ASWebAuthenticationSession。

参考资料

• https://developer.android.com.cn/privacy-and-security/security-tips#Credentials
• https://developer.apple.com/documentation/security/password_autofill
• https://developer.apple.com/videos/play/wwdc2017/206
• https://developer.android.com.cn/guide/topics/text/autofill-optimize

MASTG v1 覆盖范围

MASTG v1 中没有与此弱点相关的测试。