我对OAuth2以及如何实现OAUth2客户端和服务器有点熟悉,但我试图了解是否有模式来实现这种情况,或者它是否有意义,我应该采用不同的方法。< / p>
我正在使用HTTP后端构建移动应用程序,我希望允许用户使用Facebook,Google等第三方提供商进行身份验证。我的后端服务器公开了一些需要用户进行身份验证的HTTP API,我想让使用这些第三方提供商进行身份验证的移动应用程序用户访问我的API。
我假设用户直接在移动应用上与第三方提供商进行身份验证,而不与我自己的后端服务器进行任何交互。在某些时候,虽然用户需要与服务器进行交互,但服务器需要知道用户是谁。
我的问题是,我应该在服务器端做什么来接受来自通过移动应用程序中的Facebook验证的用户的请求?我应该发送用户从Facebook获得的访问令牌吗?另外,假设我需要支持几个提供商,我怎么知道访问令牌是由Facebook还是其他提供商发布的?
要明确我甚至不确定这是一个有效的流程,也许用户不应该直接在移动应用程序上向第三方提供商进行身份验证,但可能在某些时候应该与我的后端服务器进行一些交互,所以任何建议都是非常受欢迎的。