移动应用中是否有良好的 Oauth2 流程?
用户使用我的移动应用从我的服务器访问公共数据时的客户端凭据:
第 1 步:客户端发送 client_id 和 client_secret(我在应用代码/包中包含 client_id 和 client_secret)到服务器、APP Id 和应用设备 ID。
第 2 步:服务器响应访问令牌 & 已过期很长时间。
第 3 步:如果访问令牌过期客户端再次请求访问令牌,如第 1 步。
Step 4 : If Client Request Data Server 将检查 Access Token , APP Id & App Device ID.
【问题讨论】:
如果您打算在您的 iOS 应用程序中使用 OAuth,我推荐您Hermod,这是一个构建在 AFNetworking(iOS 中最流行的 HTTP 客户端)之上的 HTTP 客户端。
Hermod 有一个非常好的公共界面,并支持 OAuth 2.0 会话和开箱即用的令牌管理。
【讨论】:
“客户”这个词的用法可能有些混淆。
在 Oauth 2.0 术语中,客户端是访问 API 的软件。它没有说明该软件是在移动设备上运行,还是在服务器上运行。
OAuth 客户端凭据授权仅适用于服务器。切勿在您分发的应用程序包中嵌入客户端密码。您想要的授权类型可能是授权码授权。
我建议你阅读The OAuth 2.0 Authorization Framework specification。
话虽如此,如果应用程序访问的数据是公开的,为什么需要授权?
【讨论】: