用于移动应用程序的REST的OAuth

Question

RESTful正在开发一个移动应用程序的后端，使用ASP.NET MVC 4 Web构建ASP.NET Api。该应用程序将在iOS和安卓上运行。我的用户只允许使用他们的facebook账户登录，只有登录后，他们才能使用整个功能。

我对移动应用没有太多的经验，这更多的是一个设计问题:这两种场景中的哪一种(或者第三种？)在你看来，谁应该负责facebook认证似乎更好：

1. 移动客户端负责。在不访问后端的情况下，它直接与facebook对话，允许用户输入凭证，当用户从facebook获得令牌时，它第一次访问后端，在每个请求中将令牌传递给它。
2. 后端API负责。移动客户端尝试从它访问资源。后端没有从客户端获得身份验证令牌，因此它重定向到facebook登录。用户输入凭证，facebook回复后端，传递令牌。然后，后端愿意回答客户端对所需资源的响应。

当然，第二个场景意味着后端应该使用像DotNetOpenAuth这样的包来处理OAuth，而在第一个场景中，所有这些都发生在移动客户机中。

Answer 1

我认为第一种方法更正确，因为它更好地模拟了http的无状态特性(它相当于传统的http方法，如Basic )。您将在每次调用时将facebook OAuth令牌发送到web。否则，服务器需要以某种方式保持有关身份验证用户的状态，例如使用cookies这样的机制，这种机制首先看起来不正确。只有当服务器需要使用其他需要身份验证的服务时，我才会使用服务器端身份验证，但这里的情况确实很像。