我正在使用Rails为移动应用程序编写API,OAuth似乎是处理用户授权的标准方法。
如果我正确理解了Doorkeeper文档,则需要用户在授予移动应用访问权限之前登录该网站。
可能情况下的问题是,确实没有任何网站(可能在未来,但现在只是api)。我想在ios应用程序中处理用户创建/签名等。
这让我想知道OAuth在这里是否是正确的解决方案?
答案 0 :(得分:2)
根据rfc6749第4.3节,OAuth“资源所有者密码凭据授予”将授予授权令牌,并可选择授予用户名和密码的刷新令牌。因此,移动应用程序不必存储用户名和密码即可获得授权访问权限。它变得像使用令牌和刷新令牌的长时间运行会话。 OAuthClientSetup一个针对门卫api运行的iOS示例。
因此,无需网站登录身份验证和访问权限即可获得授权的OAuth方法。
剩下的是如何从移动应用注册新用户。同意OAuth不会涵盖这些内容。 OmniAuth会让您注册第三方网站授权的用户。您允许用户成为他们在Twitter或FaceBook,StackOverflow或GitHub或其他任何地方的用户。也许这会有所帮助。