我正在android和ios上创建本机移动应用程序,在了解我需要进行用户身份验证的过程时有些迷迷糊糊。
我已经为身份服务器4中实现的开放id连接流设置了授权服务器。但是,要在移动应用程序中实现此功能,我正在努力寻找最佳实践。我已经设置了混合流,并使用浏览器呈现了登录屏幕。但是,这似乎有点伤人心。
大多数大型应用程序,例如Facebook,Pinterest和我尝试过的几乎所有其他应用程序,都将其用户登录屏幕实现为似乎是本机登录页面(可能是Web视图)。
我的问题是,要以本机方式实现此功能,我相信我将不得不使用资源所有者密码凭据授予,这似乎已不为所动。我能想到的唯一另一种方法是在Web视图中呈现页面并将其样式设置为原生。尽管通过谷歌搜索发现,不少人认为这也是一种不好的做法,并且谷歌已经表示这是不安全的。
我的问题可以总结如下。诸如Facebook之类的大型应用程序在确保其应用程序安全性的同时又不损害浏览器用户体验方面做了哪些工作?这些应用程序中有没有实现OIDC?我是否完全忘记了要点?