Android 移动电话上使用代理服务器的OAuth是否太麻烦了?
在过去的几天里,我一直在安装并运行OAuth实现。不是在Android上,而是在我的web服务器上,它将充当OAuth保护服务的代理。我正要实现我的Android客户端,我的头还在为安全和实现问题而烦躁不安 当客户端仅仅是一个web浏览器时,OAuth已经足够混乱了。您有以下一系列步骤:Android 移动电话上使用代理服务器的OAuth是否太麻烦了?,android,ssl,mobile,oauth,xauth,Android,Ssl,Mobile,Oauth,Xauth,在过去的几天里,我一直在安装并运行OAuth实现。不是在Android上,而是在我的web服务器上,它将充当OAuth保护服务的代理。我正要实现我的Android客户端,我的头还在为安全和实现问题而烦躁不安 当客户端仅仅是一个web浏览器时,OAuth已经足够混乱了。您有以下一系列步骤: (客户端web浏览器)向我的代理服务器发出请求 (代理服务器)从OAuth提供商(例如web服务API)请求未经授权的令牌 (代理服务器)请求OAuth提供程序让用户授权令牌。将web浏览器重定向到OAuth
- (客户端web浏览器)向我的代理服务器发出请求
- (代理服务器)从OAuth提供商(例如web服务API)请求未经授权的令牌
- (代理服务器)请求OAuth提供程序让用户授权令牌。将web浏览器重定向到OAuth提供程序的“授权”URI
- (OAuth提供程序)用户完成授权后,将浏览器重定向到回调URI
- (代理服务器::回调URI)交换访问令牌的授权令牌,然后将其存储以备将来调用
- 对OAuth提供者进行API调用,并将响应文档返回到客户端web浏览器
- (移动web app::本机代码)使用Java/HTTP从代理服务器发出请求
- (代理服务器)从OAuth提供商(例如web服务API)请求未经授权的令牌
- (代理服务器)向移动web应用返回一个响应文档,其中包含OAuth提供商用户授权的重定向URI,最好进行模糊处理以隐藏用户密钥和其他详细信息,以阻止“空中”窥探
- (移动web app)使用安装了意向过滤器的授权URL启动web浏览器活动。但是,请存储代理服务器指定的回调URI,然后用一个特殊的“虚假”URI替换它,该URI是为方便通过意图过滤器识别URI而精心设计的(请参见以下步骤)
- (OAuth提供程序)用户完成授权后,将浏览器重定向到“虚假”回调URI
- (移动web应用)意图过滤器检测“虚假”回调URI,并使用该信号重新获得控制权。重建代理服务器的回调URI并使用Java/HTTP执行请求
- (代理服务器::回调URI)交换访问令牌的授权令牌,然后像以前一样存储它以备将来调用
- 对OAuth提供商进行API调用,并将响应文档返回到移动web应用程序
--roschlerJanrain发布了一个库,它提供了一些UI胶水和代理后端登录系统;它支持一系列流行的OAuth身份提供者(例如Google/FB)。在登录流程结束时,您会收到设备发出的HTTPS POST,该POST为您提供可交换为用户标识符和其他信息的令牌,以及将访问令牌返回到设备的通道 披露:我在Janrain工作,在这个图书馆