使用OAuth 2.0设计本机应用和后端服务器

时间:2018-09-06 21:48:23

标签: rest oauth architecture

本机应用程序的Oem 2.0 RFC8252 OAuth 2.0授权框架 RFC 6749都将“授权授予代码”视为迄今为止最安全的方法。他们都将客户端(或本例中的应用)视为一个整体。

对于市场上的大多数移动本机应用程序,它们都有自己的服务器来存储用户凭据,以便用户无需在重新启动应用程序时再次登录。另外,这样的服务器需要知道并记住注册用户及其配置文件和内容。但是,在OAuth 2.0身份验证流程中,当授权服务器将带有授权代码的重定向URI返回到默认浏览器时,浏览器会将完整的URI传播到应用程序。但是,应用程序如何与服务器对话并要求服务器获取访问令牌?我觉得RFC不清楚。

  1. 服务器是否应该获得访问令牌,并且期望应用程序的服务器将刷新令牌保存在其数据库中并偶尔获得更新的访问令牌吗?
  2. 移动设备上的应用程序是否应该仅与服务器通信,并且服务器应与OAuth授权的资源提供者(从OAuth完成之后)开始进行所有数据交换?
  3. 如果是这样,工程师通常如何做所有这些事情,他们是从头开始构建还是使用AppAuth之类的项目?这是REST API的使用方式吗?

0 个答案:

没有答案
相关问题
最新问题