移动设备的OAuth2流

Question

我们目前正在开发一种API，它将被各种不同的设备使用。我们希望使用OAuth2规范，因为它定义了原始OAuth规范中没有的几个流。我的问题是，什么样的流程最适合iPhone或iPad这样的移动设备？像TweetDeck这样的应用程序使用什么流程？

环顾网络，像TweetDeck这样的客户端似乎使用“用户名和密码凭证流”(无浏览器令牌交换)。有人能提供更多关于这个主题的信息吗？

Answer 1

仅当终端用户(移动设备用户)和请求身份验证的客户端(移动设备上的应用程序)之间存在信任时，才应使用您讨论的username and password流。在这种情况下，这种信任的存在似乎是合理的。基本上发生的是，凭据被发送到身份验证服务器，以换取访问令牌。

预计您不会存储凭据。相反，您应该存储访问令牌和刷新令牌并使用它们。刷新令牌机制是在the spec here中定义的，使用访问令牌是discussed here

Answer 2

还可以在https://datatracker.ietf.org/doc/html/draft-recordon-oauth-v2-device-00上查看设备配置文件

在这里，用户在他们的手持设备上看到一个唯一的代码，并要求在登录时将该代码输入浏览器，以验证设备。