很多实现OAuth的困难在于理解授权流程应该如何工作。这主要是因为这是登录的“起点”，而且当使用第三方后端（例如Python Social Auth）时，你实际上需要进行两次操作：一次用于你的API，一次用于第三方API。
使用你的API和第三方后端授权请求的过程如下：

Mobile App -> Your API : Authorization redirect
Your API -> Django Login : Displays login page
Django Login -> Facebook : User signs in
Facebook -> Django Login : User authorizes your API
Django Login -> Your API : User signs in
Your API -> Mobile App : User authorizes mobile app

我在这里使用"Facebook"作为第三方后端，但是对于任何后端，过程都是相同的。

从您的移动应用程序的角度来看，您只需重定向到Django OAuth Toolkit提供的/authorize URL。从那里开始，移动应用程序等待回调URL被访问，就像标准OAuth授权流程中一样。几乎所有其他内容（Django登录，社交登录等）都由Django OAuth Toolkit或Python Social Auth在后台处理。

这也将兼容您使用的几乎任何OAuth库，并且无论使用什么第三方后端，授权流程都将是相同的。它甚至可以处理您需要支持Django身份验证后端（电子邮件/用户名和密码）以及第三方登录的常见情况。

Mobile App -> Your API : Authorization redirect
Your API -> Django Login : Displays login page
Django Login -> Your API : User signs in
Your API -> Mobile App : User authorizes mobile app

值得注意的是，移动应用程序（可以是任何OAuth客户端）永远不会收到Facebook/第三方OAuth令牌。这非常重要，因为它确保您的API充当OAuth客户端和用户社交帐户之间的中介。

Mobile App -> Your API : Authorization redirect
Your API -> Mobile App : Receives OAuth token
Mobile App -> Your API : Requests the display name
Your API -> Facebook : Requests the full name
Facebook -> Your API : Sends back the full name
Your API -> Mobile App : Send back a display name

否则，OAuth客户端将能够绕过您的API并代表您向第三方API发出请求。

Mobile App -> Your API : Authorization redirect
Your API -> Mobile App : Receives Facebook token
Mobile App -> Facebook : Requests all of the followers
Facebook -> Mobile App : Sends any requested data

您会注意到，此时您已经失去了对第三方令牌的所有控制。这是非常危险的，因为大多数令牌可以访问各种数据，这打开了滥用的大门，最终以您的名义进行操作。最有可能的是，那些登录您的API/网站的人并不想与OAuth客户端分享他们的社交信息，而是希望您尽可能保密这些信息，但实际上，您正在将这些信息暴露给所有人。
身份验证请求您的API
当移动应用程序使用您的OAuth令牌向您的API发出请求时，所有身份验证都在后台通过Django OAuth Toolkit（或您的OAuth提供程序）完成。您只能看到与您的请求相关联的“用户”。

Mobile App -> Your API : Sends request with OAuth token
Your API -> Django OAuth Toolkit : Verifies the token
Django OAuth Toolkit -> Your API : Returns the user who is authenticated
Your API -> Mobile App : Sends requested data back

这很重要，因为在授权阶段之后，用户是来自Facebook还是Django的认证系统对于API来说没有区别。您的API只需要一个“用户”来使用，并且您的OAuth提供程序应该能够处理令牌的验证和认证。
当使用基于会话的身份验证时，这与Django REST框架对用户进行身份验证的方式并没有太大区别。

Web Browser -> Your API : Sends session cookie
Your API -> Django : Verifies session token
Django -> Your API : Returns session data
Your API -> Django : Verifies the user session
Django -> Your API : Returns the logged in user
Your API -> Web Browser : Returns the requested data

再次强调，所有这些都由Django OAuth Toolkit处理，不需要额外的工作来实现。

与本机SDK一起使用

在大多数情况下，您将通过自己的网站对用户进行身份验证，并使用Python Social Auth处理所有内容。但是，唯一的例外是使用本机SDK时，因为身份验证和授权通过本地系统处理，这意味着您完全绕过了API。这对于需要使用第三方登录的应用程序或根本不使用您的API的应用程序非常有用，但是当两者结合在一起时，它会成为一个噩梦。

这是因为您的服务器无法验证登录，被迫假定登录是有效和真实的，这意味着它绕过了Python Social Auth提供的任何和所有安全性。

Mobile App -> Facebook SDK : Opens the authorization prompt
Facebook SDK -> Mobile App : Gets the Facebook token
Mobile App -> Your API : Sends the Facebook token for authorization
Your API -> Django Login : Tries to validate the token
Django Login -> Your API : Returns a matching user
Your API -> Mobile App : Sends back an OAuth token for the user

您会注意到，在身份验证阶段中，此方法跳过了您的 API，然后强制要求您的 API 对传递的令牌进行假设。但是，在某些情况下，这种风险可能是值得的，因此在放弃之前应该评估一下。这是在为用户提供快速和本地化的登录体验与处理错误或恶意令牌之间的权衡。

我使用了你提供的A选项，解决了它。

我所做的是通过第三方访问令牌注册使用第三方注册的用户。

url(r'^register-by-token/(?P<backend>[^/]+)/$',
    views.register_by_access_token),

这样，我可以像这样发出GET请求：

GET http://localhost:8000/register-by-token/facebook/?access_token=123456

然后会调用register_by_access_token。 request.backend.do_auth将从令牌查询提供者的用户信息，根据该信息自动注册用户帐户或在已经注册的情况下登录用户。

接着，我手动创建一个令牌，并将其作为JSON返回，以便让客户端查询我的API。

from oauthlib.common import generate_token
...
@psa('social:complete')
def register_by_access_token(request, backend):
    # This view expects an access_token GET parameter, if it's needed,
    # request.backend and request.strategy will be loaded with the current
    # backend and strategy.
    third_party_token = request.GET.get('access_token')
    user = request.backend.do_auth(third_party_token)

    if user:
        login(request, user)

        # We get our app!   
        app = Application.objects.get(name="myapp")

        # We delete the old token
        try:
            old = AccessToken.objects.get(user=user, application=app)
        except:
            pass
        else:
            old.delete()

        # We create a new one
        my_token = generate_token()

        # We create the access token 
        # (we could create a refresh token too the same way) 
        AccessToken.objects.create(user=user,
                                   application=app,
                                   expires=now() + timedelta(days=365),
                                   token=my_token)

        return "OK" # you can return your token as JSON here

    else:
        return "ERROR"

我只是不确定我生成令牌的方式是否符合良好实践？不过，目前它可以工作！

也许 django-rest-framework-social-oauth2 是您正在寻找的东西。该软件包依赖于您已经使用的 python-social-auth 和 django-oauth-toolkit。我快速浏览了文档，它似乎实现了您想要做的事情。

我正在使用React Native和Django REST框架。这篇博客介绍了我如何使用Facebook解决注册问题https://medium.com/@gabriel_gamil/react-native-expo-django-facebook-authentication-sign-in-83625c49da7。
简而言之，使用django-rest-auth https://django-rest-auth.readthedocs.io/en/latest/index.html。
使用Django-allauth https://django-allauth.readthedocs.io/en/latest/。