toqenapp/mobile-react-native

# Toqen.app 移动端 以访问优先的认证基础设施，支持使用 QR 流程和设备绑定加密密钥实现安全、实时的授权。 ## 安全原则 - 设备绑定加密认证 - 每次访问请求的挑战-响应验证 - 短期一次性授权挑战 - 安全本地存储敏感数据 - 服务器端验证所有授权决策 ## 授权流程 1. 服务创建短期授权请求 2. 请求通过 QR 或移动端流程传递到移动应用 3. 用户明确批准或拒绝请求 4. 设备使用安全密钥对唯一挑战进行签名 5. 后端在授予访问权限前验证签名 ## 仓库用途 该仓库公开提供，以支持透明度和独立技术审查。 它使开发者、安全工程师和合作伙伴能够： - 检查架构 - 理解授权流程 - 在实践中评估安全模型 ## 移动应用角色 Toqen.app 移动应用通过以下方式参与授权流程： - 扫描和处理授权请求 - 执行设备绑定加密操作 - 确认用户意图 - 安全存储设备密钥 所有授权决策均由后端强制执行。 移动应用不作为事实来源。 ## 文档 - [系统概述](./docs/overview.md) - [架构](./docs/architecture.md) - [授权流程](./docs/flows.md) - [QR 请求格式](./docs/qr-format.md) - [安全模型](./docs/security-model.md) - [安全存储](./docs/storage.md) - [API 契约](./docs/api-contracts.md) - [威胁模型](./docs/threat-model.md) - [构建与发布](./docs/build-and-release.md) - [安全策略](./SECURITY.md) ## 仓库状态 构建持续进行中。 ## 许可证 该仓库为源代码可用。 源代码访问仅用于审查和评估。 使用、重新分发、修改和生产部署受本仓库许可证约束。

标签：API 契约, QR 流程, Streamlit, 二维码认证, 后端安全, 威胁模型, 安全存储, 安全模型, 实时授权, 密钥, 挑战响应, 授权, 操作系统检测, 数据可视化, 文档化架构, 服务器端验证, 独立审计, 目录枚举, 短时效令牌, 移动安全, 签名验证, 自动化攻击, 设备端加密, 设备绑定, 访问控制, 透明性