Поток OAuth2 для мобильных устройств
Мы в настоящее время работаем над API, который будет использован множеством различных устройств. Мы хотим использовать спецификацию OAuth2, поскольку она определяет несколько потоков, которые не были доступны в исходной спецификации OAuth. Мой вопрос, какой поток работал бы лучше всего на мобильное устройство, такое как iPhone или iPad? Какой поток приложению нравится использование TweetDeck?
При оглядывании сети, которой это кажется, клиенты как TweetDeck используют 'Поток Учетных данных имени пользователя и Пароля" (маркерный обмен без браузера). Кто-либо может предоставить больше информации об этой теме?
1 ответ
Обсуждаемый вами поток имени пользователя и пароля следует использовать только в том случае, если между конечный пользователь (пользователь мобильного устройства) и клиент, запрашивающий аутентификацию (приложение на мобильном устройстве). В этом случае кажется разумным, что такое доверие существует. В основном происходит то, что учетные данные отправляются на сервер аутентификации в обмен на токен доступа.
Ожидается, что вы НЕ храните учетные данные. Вместо этого вы должны сохранить токен доступа и токен обновления и использовать их. Механизм токена обновления определен в спецификации здесь , а использование токенов доступа обсуждается здесь