Позволяет использовать Facebook для этого примера.Как Facebook аутентифицирует/авторизует своих официальных клиентов?
Я предполагаю, что FB использует собственные публичные API (а также внутренние, которые они могут использовать), и, поскольку они используют OAuth 2, было бы безопасно предположить, что у них есть «специальные регистрации клиентов» с разрешение на использование Предоставление полномочий по предоставлению прав владельца ресурса?
Как вы знаете, при входе в Facebook из своих собственных официальных приложений, они не поп открыть браузер, прошу вас, если вы позволить Facebook использовать Facebook, так если они используют OAuth как они это делают безопасно?
Мы все читали, что Twitter got their consumer keys leaked, как избежать этого?
Я не эксперт по вопросам безопасности, и у меня нет опыта в обратном проектировании, я просто в ситуации, когда я должен сам выполнить авторизационный сервер OAuth, и мы хотим разоблачить наши API третьим сторонам, но поскольку мы у нас есть «официальные родные приложения», мы хотели бы использовать грант Credential Credential Resource Owner для лучшего пользовательского опыта.
В соответствии с OAuth 2 spec, родные приложения должны не включают в себя клиентские секреты, но как это улучшается? Способ, которым я это вижу, если вы не включаете этот секрет, и ваш идентификатор клиента извлекается и используется для предоставления паролей, единственный способ отменить его - полностью удалить идентификатор клиента с вашего сервера авторизации.
Я пропустил что-то очевидное здесь? Как это делают «большие парни»?
На какой клиент вы ссылаетесь? (ссылка для скачивания) – h3xStream
@ h3xStream их клиенты iOS/Android/WP. – Jeff