хороший поток Oauth2 в мобильном приложении?

Является хорошим потоком Oauth2 в мобильном приложении?

Учетные данные клиента при доступе пользователей к публичным данным с моего сервера с помощью мобильного приложения:

Шаг 1: Клиент Send client_id & client_secret (я включаю client_id & client_secret в код приложения/пакет) К серверу, идентификатор устройства и идентификатор устройства APP.

Шаг 2. Ток доступа к серверу и срок действия.

Шаг 3: Если токен доступа истек, клиент снова запросит токен доступа, как шаг 1.

Шаг 4: Если сервер данных запроса клиента проверяет токен доступа, идентификатор приложения и идентификатор устройства APP.

0
источник поделиться
2 ответа

Если вы планируете использовать OAuth в своем приложении iOS, я рекомендую вам Hermod, HTTP-клиент, построенный поверх AFNetworking (самого популярного HTTP-клиента в iOS).

У Hermod очень приятный публичный интерфейс и поддержка сессий OAuth 2.0 и управление токеном из коробки.

+4
источник

Может быть некоторая путаница вокруг использования слова "клиент".

В терминологии Oauth 2.0 клиент представляет собой часть программного обеспечения, доступ к API. Он не говорит, работает ли эта часть программного обеспечения на мобильном устройстве или на сервере.

Грант Credentials OAuth Client предназначен для использования только с сервера. Никогда не вставляйте секрет клиента в пакет приложения, который вы распространяете. Тип гранта, который вы хотите, вероятно, является грантом авторизационного кода.

Я предлагаю вам прочитать спецификацию OAuth 2.0 Authorization Framework.

При этом, если доступ к данным, доступный приложению, является общедоступным, почему вы требуете авторизации?

+1
источник

Посмотрите другие вопросы по меткам или Задайте вопрос