我们目前正在开发一种将被各种不同设备使用的API。我们想要使用OAuth2规范,因为它定义了原始OAuth规范中没有的几个流程。我的问题是,哪种流程最适合iPhone或iPad等移动设备? TweetDeck等应用程序使用什么流程?
环顾网络,似乎像TweetDeck这样的客户使用“用户名和密码凭据流”(无浏览器令牌交换)。任何人都可以提供有关此主题的更多信息吗?
答案 0 :(得分:6)
只有在最终用户(移动设备用户)和请求身份验证的客户端(移动设备上的应用程序)之间存在信任时,才应使用您讨论的username and password流程。在这种情况下,这种信任存在似乎是合理的。基本上发生的是将凭证发送到auth服务器以换取访问令牌。
预计您不会存储凭据。相反,您应该存储访问令牌和刷新令牌并使用它们。刷新令牌机制在the spec here中定义,使用访问令牌为discussed here
答案 1 :(得分:0)
同时在http://tools.ietf.org/html/draft-recordon-oauth-v2-device-00
结帐设备资料此处,用户在手机上看到一个唯一的代码,并且需要在登录时将该代码输入浏览器以验证设备。