我们目前正在开发一个可供各种不同设备使用的 API。我们希望使用 OAuth2 规范,因为它定义了原始 OAuth 规范中不可用的多个流程。我的问题是,哪种流程最适合 iPhone 或 iPad 等移动设备?像 TweetDeck 这样的应用程序使用什么流程?
环顾网络,像 TweetDeck 这样的客户端似乎使用“用户名和密码凭证流程”(无浏览器 token 交换)。任何人都可以提供有关此主题的更多信息吗?
最佳答案
username and password仅当最终用户(移动设备用户)和请求身份验证的客户端(移动设备上的应用程序)之间存在信任时,才应使用您讨论的流程。在这种情况下,这种信任的存在似乎是合理的。基本上发生的事情是将凭据发送到身份验证服务器以换取访问 token 。
您不应存储凭据。相反,您应该存储访问 token 和刷新 token 并使用它们。刷新 token 机制在 the spec here 中定义。使用访问 token 是 discussed here
关于iphone - 适用于移动设备的 OAuth2 流程,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3046097/