TL; DR:我希望原生(已登录)Android应用程序向安装在同一设备上的第三方应用程序提供身份验证令牌。我想尽可能多地使用标准的spring-security-oauth2代码,因为我不是OAuth2专家。
长版:
我的系统包括:
这一切都在隔离的环境中运作良好。
原来第三方Android应用提供商希望与我的系统集成。 Actualy不会进行REST API调用 - 集成的唯一目的是加入用户帐户。
我创建了第三方应用可以使用的OAuth2(基于Spring安全的)身份验证服务器 - 这样用户就可以在我的和第三方应用中使用相同的凭据。
事情是:我的用户仍然必须为每个应用至少输入一次凭据。这很麻烦:我的用户是孩子 - 他们经常不记得或根本无法输入凭据。
而不是强迫第三方提供商在他们的应用程序中嵌入WebView并处理OAuth2调用我的服务器,我希望他们调用我方便已登录的应用程序。我的应用程序将处理实际的授权UI(通过本机活动)和回复用适当的令牌调用应用程序。
主要问题是:我不知道如何开始。
我可以强制spring-security-oauth2仅使用JSON吗?我看到最重要的授权端点即时生成html。
我是否必须创建自己的端点来处理此方法或任何标准的OAuth2流程?