移动设备的OAuth2流程

Question

11

我们目前正在开发一个API，该API将被各种不同的设备使用。我们想使用OAuth2规范，因为它定义了一些在原始OAuth规范中不可用的流程。我的问题是，对于iPhone或iPad等移动设备，哪种流程最好？像TweetDeck这样的应用程序使用哪种流程？

在网上搜索后，似乎像TweetDeck这样的客户端使用“用户名和密码凭证流”（无浏览器令牌交换）。有人可以提供有关此主题的更多信息吗？

- Bart Jedrocha

2个回答

0

在这里，用户在手机上看到一个唯一的代码，并需要在登录后将该代码输入浏览器中，以验证设备。

- Aiden Bell

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- NG. · Accepted Answer

你所讨论的用户名和密码流程只有在最终用户（移动设备用户）和请求认证的客户端（移动应用程序）之间存在信任时才应使用。在这种情况下，这种信任似乎是合理的。基本上，凭据将被发送到认证服务器以换取访问令牌。

预期您不会存储凭据。相反，您应该存储访问令牌和刷新令牌并使用它们。刷新令牌机制在此处规范中定义，并且使用访问令牌在此处讨论。