仅具有社交登录的移动应用程序的推荐OAuth2流程是什么？

Question

如果我理解正确的话，请告诉我。我是否必须在我的REST服务器中生成访问令牌（也许是刷新令牌？）并将它们发送到客户端应用程序，我应该在哪里存储这些令牌？ SharedPreferences？或客户经理？我怎么能活着用户会话？

Answer 1

  

以下是我以前的一个应用中使用的序列，不确定它是什么   最好的一个：）

1. 使用fb sdk /网页登录Facebook或任何其他社交服务
2. 获得一个令牌，也许也是一个刷新令牌
3. 获取令牌并将其发送到您自己的服务器
4. 让服务器请求带有此令牌的FB以获取您的个人资料信息（姓名，FB ID，电子邮件，性别等......）
5. 使用FB_id检查数据库中是否存在此用户
6. 如果用户存在则只返回客户端您自己的令牌和刷新令牌（不是从FB生成的令牌）
7. 如果用户不存在，则使用从FB获得的数据并在数据库中创建新记录并返回新的令牌＆amp;刷新令牌给用户。
8. 将用户的FB令牌保存在您的数据库中以供进一步使用。
9. 在用户个人资料中添加值或密钥，以了解区分用户是使用fb登录还是使用普通电子邮件和密码登录

.. 欢迎任何编辑。