[英]good Oauth2 flow in mobile app?
移動應用程序中的Oauth2流是否良好?
用戶使用我的移動應用程序從我的服務器訪問公共數據時的客戶端憑據:
步驟1:客戶端發送client_id和client_secret(我在應用程序代碼/程序包中包含client_id和client_secret)到服務器,APP ID和App Device ID。
第2步:服務器響應訪問令牌和過期時間很長。
步驟3:如果訪問令牌已過期,則客戶端再次請求訪問令牌,如步驟1所示。
步驟4:如果客戶端請求數據服務器將檢查訪問令牌,APP ID和App Device ID。
如果您打算在iOS應用中使用OAuth,建議您使用Hermod ,它是基於AFNetworking(iOS中最受歡迎的HTTP客戶端)構建的HTTP客戶端。
Hermod具有非常好的公共界面,並支持開箱即用的OAuth 2.0會話和令牌管理。
關於“客戶”一詞的用法可能會有一些混淆。
在Oauth 2.0術語中,客戶端是訪問API的軟件。 它並沒有說該軟件是運行在移動設備還是服務器上。
OAuth客戶端憑據授予只能在服務器上使用。 切勿將客戶機密嵌入到您分發的應用程序包中。 您想要的授權類型可能是授權代碼授權。
建議您閱讀OAuth 2.0授權框架規范 。
話雖這么說,如果應用程序訪問的數據是公共的,那么為什么需要授權?
對於僅具有社交登錄功能的移動應用程序,推薦的OAuth2流是什么?
[英]What's the recommended OAuth2 flow for an mobile app with social login only?
公共本地移動應用程序中的WSO2 Api Manager OAuth2 DCR安全性
[英]WSO2 Api Manager OAuth2 DCR security in public native mobile app
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
