我们有一个本机iOS和Android应用程序,该应用程序具有自定义登录表单,可以通过启用了oAuth2的身份提供程序的身份验证端点直接对用户进行身份验证(该应用程序通过HTTP请求将用户凭据发送给身份提供程序并获取JWT作为响应)。
该应用程序无法打开带有回调URL的浏览器或应用程序内浏览器来直接打开身份提供商的登录表单-因此,无法为SSO设置Cookie。 该应用有时会确实将用户重定向到使用同一身份提供者的其他服务(在Web浏览器中)。到目前为止,用户被迫再次输入其凭据才能登录。
我们现在正在寻找一种(安全的)方法来通过应用实现SSO,而无需使用启用了Cookie的(应用内)浏览器来登录应用。
我们考虑过的解决方案:
这可以视为安全解决方案吗?有一种我们不知道要做的标准化方法吗?