第三方移动应用想要我的Google凭据,不好。但他们有其他选择吗?
我了解OAuth,我知道在网络上,应用/网站已经要求用户登录他们的facebook / google / twitter / OID帐户,只需获得身份验证令牌。
我的问题是: 1.移动应用程序可以做同样的事情(Android,WP7专门) 2.如果应用程序是一个想要成为谷歌阅读器应用程序的RSS阅读器(因为三个不是WP7的谷歌应用程序,第三方制作了这样的应用程序)。该应用程序可以作为我的谷歌阅读器在手机上运行,而我没有给它我的usrname / pswd?
似乎有风险将我的google凭据泄露给随机的第三方应用......
答案 0 :(得分:1)
有一些尝试使用OAuth。 Twitter有XAuth(我忘了它是多么破碎,它可能还处于测试阶段)。还有Facebook Connect。他们都被打破了。
有两个主要问题:
我可以想到一个不错的解决方案:拥有一个官方的Google帐户应用。在Android上,您将其作为活动启动,并在完成时为您提供身份验证令牌。在iOS上,你会对URL做同样的事情。我不确定它在WP7或BB上是如何工作的。
这解决了第一个问题,因为预计用户已经登录,第二个问题是因为您通常会提供一些启动您的应用程序的标识符。 (嗯,它解决了那些没有将密码输入随机应用程序的用户的问题。)