【发布时间】:2016-06-16 02:12:11
【问题描述】:
假设您有一个 REST API,您想使用基于 OAuth 的身份验证系统进行保护。使用我正在使用的网站的常规流程是:
- 用户点击链接登录谷歌
- google 向您指定的回调发出请求
- 您的应用程序通过获取给定令牌并请求用户数据来响应回调,在数据库中查找该用户数据对应的内容,并为您返回 Web 应用程序的会话 cookie 和 HTML 重定向(例如到家或任何你喜欢的地方)
基本上,回调端点将 google 令牌转换为您的 Web 应用程序会话 cookie。
现在我想知道:对于一个对 cookie 或重定向一无所知的移动应用程序,这将如何工作?它可以做到:
- 点击 google 按钮,向 google auth URL 发出 HTTP 请求
- google 使用您指定的回调 URL 进行响应
- 应用程序向您的应用程序的上述回调 URL 发出另一个请求
- 您的应用程序返回一个 cookie 会话值和一个指向主页的重定向 URL
- 移动应用程序忘记了最后一个重定向 URL,并获取 cookie 会话值并将其用于对 API 的任何其他请求
是吗?
【问题讨论】:
标签: rest authentication mobile oauth oauth-2.0