Каков наилучший способ защитить мое собственное мобильное приложение с помощью oauth 2?

Question

Im пытается построить поставщика OAuth 2 и для веб-сервера, который прокладывает свой самый прочный вперед, но я не могу найти оптимальный способ реализовать установленный поток приложений.

В большинстве примеров видно, что в основном наблюдается поток веб-сервера внутри встроенный браузер в мобильном приложении, это также обычно показывает, как facebook и google демонстрируют сторонние приложения для использования своих API-интерфейсов.

, но действительно ли в facebook и googles собственные мобильные приложения используют этот поток или есть лучший способ реализовать мобильную аутентификацию.

моя основная проблема связана главным образом с идентификатором клиента и клиентом secr et, если он встроен в каждую установленную версию мобильного приложения, он становится практически бесполезным, так как его можно легко обнюхать, и нет четких примеров использования каждого приложения для секретности клиента.

так что лучший способ обеспечения моего собственного мобильного приложения с помощью oauth 2

Answer 1

Как вы, вероятно, хотите иметь авторизацию на основе пользователя и не хотите иметь дело с именем пользователя/паролем на стороне клиента, это оставляет вам возможность использовать Implicit Grant flow или Authorization Code Grant flow (то, что вы называете поток веб-сервера).

Теперь ознакомьтесь со спецификацией OAuth 2 Installed Applications section. Там они заявляют:

При выборе между неявным типом гранта и типом гранта кода авторизации, то необходимо учитывать следующее:

• Родных приложений, которые используют тип кода гранта авторизации следует сделать это без использования клиентских учетных данных, из-за неспособности собственного приложения хранить конфиденциальные данные клиента.
• При использовании потока неявного типа выделения токен обновления не возвращается, что требует повторения процесса авторизации после истечения срока действия токена доступа.

ли использовать встроенный или внешний агент пользователя также широко освещалось в спецификации.

Для реализации этого надежно (по крайней мере, насколько это технически возможно на открытой платформе), поиск спецификации для слова родной и читать разделы, содержащие это слово несколько раз, особенно разделы Client Authentication и Client Impersonation.