使用OAuth/XAuth(?)

Question

我正在制作一个应用程序，它需要能够与Facebook分享故事，使用的密码和电子邮件地址是以编程方式设置的(而不是使用Facebook-Connect，主要是因为我想要我自己的设计，不管您是从应用程序登录Twitter还是Facebook )。

我已经在Twitter和XAuth上做过这件事了，这是很棒的。我是否可以通过Facebook或者普通的OAuth来实现同样的目标呢？(或者Facebook支持XAuth，这会让事情变得容易得多吗？)

还有其他方法可以实现我想要的吗？

Answer 1

理论上说，你的应用程序不应该看到用户的密码。

实际上，由于代码都在您的应用程序中运行，所以获取用户的密码非常简单(提供一个类似的UI来获取用户的密码也很简单)。

因为您有完整的源代码，所以只需调用使用用户名和密码登录的函数就足够容易了。我不建议这样：

unencrypted.

• Setting.app
• 可能不喜欢它，并且可能会撤销应用程序的API密钥。除非绝对需要，否则
• 不应该存储用户名/密码，特别是在NSUserDefaults ( Settings.app使用的)中，因为它完全不支持密码字段。
• 用户不应该退出应用程序，进入设置，添加登录详细信息，然后切换回应用程序。“多任务处理”的效果要好一些，但没有那么好。

使用普通的Facebook登录屏幕有什么问题？

编辑：详细信息..。

• AFAIK，您无法可靠地加密由Settings.app保存的NSUserDefaults。您不需要决定将其写入哪个文件(我认为，Library/Preferences/com.example.myapp.plist)。在iOS 4中，您可以设置NSFileProtectionKey=NSFileProtectionComplete，但这有很多问题：
  • --您在应用程序中设置了这个。用户可以在运行应用程序之前访问attribute.
  • NSUserDefaults。
  • ，虽然在您的应用程序zip/ipa中应该可以包括Library/Preferences/com.example.myapp.plist，但我不认为通过将新plist写入一个新文件并将文件重命名为旧文件，包含NSFileProtectionKey
  • 是不可能“原子地”更新plist的。如果将数据的控制权交给一个无法保证安全性的API，则新文件不太可能具有NSFileProtectionKey=NSFileProtectionComplete.
  • Ultimately，，它是不安全的(NSUserDefaults似乎容易留下大量临时文件.)。苹果专门提供了密钥链来存储密码(甚至还有一些不错的示例代码！)；使用it.

！

​

• 苹果不建议使用Settings.bundle和您自己的设置屏幕--您应该选择一个或另一个。

Answer 2

对于使用OAuth的网站，比如Facebook，您想要做的就是规避用户安全。要了解OAuth的简单描述，请查看以下链接：http://bit.ly/awynlU --简称为Facebook负责对用户进行身份验证，并在其服务器上进行验证。正如tc所提到的，理论上你永远看不到密码。

好的，坏的，或者无动于衷的，你想做的都应该被阻止。如果可以的话，这违反了网站建立的安全模式-- Facebook在这种情况下。

顺便说一句，Twitter也在向OAuth移动。根据我所掌握的信息，“从8月31日开始，所有应用程序都需要使用”OAuth“来访问您的Twitter帐户。”

Answer 3

我想知道你为什么真的想采用这样一种老套的方法。用户只需要登录一次就可以获得OAuth2令牌，您可以在那里发布多少次您想要的Facebook，w/o甚至要求用户使用Facebook登录。