即将开放OAuth访问的公共API,没问题。主站点使用api但使用基本身份验证(限制为我们的内部IP范围)
下一步是规划一个移动应用程序,但应该如何处理那里的身份验证呢?
首先想到的是为我们的appid创建一个特殊的登录屏幕,使其看起来像身份验证(而不是授权),但是对我们的appid进行逆向工程并不是很难。
如何(例如)facebook处理facebook iphone应用程序中的登录? 外观和感觉说他们正在使用身份验证,但如果是这样,他们如何阻止其他人使用它?
建议表示赞赏。
答案 0 :(得分:0)
我想你会在本文件中找到答案,特别是段落: http://tools.ietf.org/html/draft-ietf-oauth-v2-threatmodel-07#section-5.2.3.4