我一直在研究OAuth,看看它是否可用于我正在进行的项目中。我开始怀疑它是否可能。它基于移动设备的双因素身份验证。
基本上我会有一个登录页面,一旦成功登录,QRCode就会出现在屏幕上。系统将提示用户使用他们的Android设备(我正在制作的应用程序)扫描此代码,该设备将通过服务器对其进行身份验证。
我不确定这是否符合OAuth范例,所以我认为我可能需要设计自己的协议。
任何建议表示赞赏。
答案 0 :(得分:0)
我认为OAuth不会在这里找到一个位置,您只有一台服务器而且您的移动用户不知道。当客户端(例如:web-app,android app)需要代表拥有某些资源的最终用户(例如:最终用户google驱动器文件)与服务器(例如:Google Plus)交谈时使用OAuth,保护他们的凭据。例如:你不能/不需要在Gplus中知道他们的密码,GPlus告诉你他们是那里的授权用户并允许你代表他们做事,见http://en.wikipedia.org/wiki/OAuth
为什么用户不在Android应用中插入用户名和密码,没有QRcode?我不认为你在这个qrcode中添加了任何人可以扫描的任何安全性,看看谷歌2步:http://en.wikipedia.org/wiki/Two-step_verification他们发送短信