適用於Facebook（或Twitter）移動APP的OAuth2實現？

Question

抱歉，標題令人誤解，但這是我想做的：

1. 假設我有一個已經運行的網站AwesomeWeb ，它使用用戶名/密碼組合對用戶進行身份驗證。 現在，我想為此開發一個移動應用程序AwesomeApp ，同時開發並開放其RESTful API- AwesomeAPI 。

2. 為簡單起見 ，我計划使用OAuth2授權AwesomeAPI ，並使AwesomeApp成為第一個客戶端/應用程序。

3. 但我不希望AwesomeApp有一個簡單的注冊過程：輸入用戶名/密碼- >點擊按鈕- >完成。 換句話說，就像Facebook或Twitter一樣具有“非網絡”感覺。

4. 對於那些想要通過AwesomeAPI訪問資源（例如用戶名）的第三方移動應用程序，應在應用程序中的某個位置嵌入一個按鈕，該按鈕將打開AwesomeApp並在單擊時顯示“允許/拒絕”頁面。 同樣，這是Facebook和Twitter應用程序所做的。

好，這是問題：

• 在第3步中，我該使用什么：webview或使用http填充背景或僅使用OAuth2密碼授予類型？ 優點與缺點？
• 步驟3之后，我獲得了AwesomeApp的訪問令牌。 但是在第4步中不能使用此令牌為某些第三方應用程序發布訪問令牌，對嗎？ 如果是這樣，如何實現步驟4？

非常感謝您的幫助！

注意：我不是在要求OAuth2流或應用間通信。

Answer 1

無論您是通過實現RFC 6749 （OAuth 2.0）中定義的“ 資源所有者密碼憑據 ”流程還是通過其他方式來實現步驟3，都應在后台執行身份驗證。 請注意，在“資源所有者密碼憑據”流程中，客戶端應用程序不訪問授權端點，而是直接訪問令牌端點 ，因此不會顯示授權UI（應該顯示在授權端點）。

要實現步驟4，您必須實現“ 授權碼 ”流程或“ 隱式 ”流程。