Поток OAuth2 для мобильных устройств

В настоящее время мы работаем над API, который будет использоваться различными устройствами. Мы хотим использовать спецификацию OAuth2, поскольку она определяет несколько потоков, которые не были доступны в исходной спецификации OAuth. Мой вопрос: какой поток лучше всего подходит для мобильного устройства, такого как iPhone или iPad? Какой поток использует приложение, такое как TweetDeck?

Оглядываясь на веб-сайты, кажется, что клиентам нравится TweetDeck использовать "Пользовательский учет и учетные данные паролей" (обмен маркером без браузера). Может ли кто-нибудь предоставить дополнительную информацию по этой теме?

Ответ 1

Рассматриваемый имя пользователя и пароль должен использоваться только в том случае, если существует доверие между конечным пользователем (пользователем мобильного устройства) и клиент, запрашивающий auth (приложение на мобильном телефоне). В этом случае представляется разумным, что это доверие будет существовать. В основном происходит то, что учетные данные отправляются на сервер auth в обмен на токен доступа.

Ожидается, что вы НЕ храните учетные данные. Вместо этого вы должны сохранить токен доступа и токен обновления и использовать их. Механизм токена обновления определяется в спецификация здесь и с использованием токенов доступа обсуждался здесь

Ответ 2

Также проверьте профиль устройства на http://tools.ietf.org/html/draft-recordon-oauth-v2-device-00

Здесь пользователь видит уникальный код на своем телефоне и должен ввести этот код в браузер при авторизации для аутентификации устройства.