關於mobile做authentication security

[itdog][mobile, security, oauth][其實IoT可能都關事(唔熟)] 關於mobile做authentication security問題。 之前可能講過, but我都再講多次, 重要野唔怕一講再講。 Mobile App裝o係Mobile,你就要預左好似frontend javascript咁赤裸俾人睇晒。 因為hacker可以crack mobile =>拎到APK file =>decompile做source code 我舉個例子,mobile app用OAuth Authorization Code Grant Flow做authentication。 好多人都係咁做,好多industrial專業engineer都可能係咁做。(就算vendor如pingIdentity, 佢地個網都係咁講架ja) 但以大眾做法,我(or hacker)好似上面咁講,decompile source code,拎到你hard code既client […]

一些寫library的practices分享

我寫library/module通常有一d practices。 1) 我多數是將data store的底層abstract。 並且default使用memory data store。(e.g:用個hashmap儲住就算) 我咁做唔係因為懶/求奇。 而係因為我自己作為developer理念係minimum-viable就是最簡單,就是最好。 面向developer,其實最好就係用最快最簡單最少step方法就可以俾developer taste得到。 default使用memory data store,就至少唔駛setup database。 但我通常亦都會留位俾developer去switch用其他data store implementation。 我通常都會另外做一個堅database data store implementation 俾佢next step即刻可以switch到。 最近寫的code,我有時會再另外再做一個remote REST resource data store […]

Visual Studio Code Rest client extensions

Visual Studio Code Rest client extensions , 是我用開 Visual Studio Code 寫 code 時的一個好常用/adapt的feature。 ” Rest client ” extensions其實就好似 Postman (一個chrome extension,用黎mock up去send HTTP request做testing)。 但佢就再簡化d,唔需要UI,而係用text就夠。 即係例如我隨便一個file入面有呢幾行字: POST http://localhost:8080/items Content-type: […]