OAuth 2.0

मैं OAuth 2.0 प्रोटोकॉल पर शोध कर रहा हूं।OAuth 2.0

मैं डेस्कटॉप/मोबाइल एप्लिकेशन के लिए बेयरर टोकन जेनरेट करने की समस्या में फंस गया जो वेब सर्वर पर नहीं चलता है।

ओएथ 2.0 प्रोटोकॉल प्रवाह वेब अनुप्रयोगों के लिए मुझे स्पष्ट है। मान लीजिए myapp.com उपयोगकर्ता एलिस की ओर से protectedresource.com तक पहुंचना चाहता है, तो ऐलिस को https://protectedresource.com/oauth?redirect_uri=https://myapp.com/oauth&[...] पर रीडायरेक्ट किया जाता है, इसलिए सहमति प्राप्त करने के बाद संसाधन प्रबंधक, ऐलिस के ब्राउज़र को उस पृष्ठ पर रीडायरेक्ट करता है जो प्राधिकरण कोड एकत्र करेगा और भालू टोकन प्राप्त करने के लिए इसका उपयोग करेगा।

यह ठीक और सुरक्षित काम करता है क्योंकि protectedresource.com केवल से myapp.com

आ रहा एक डेस्कटॉप अनुप्रयोग चल रहा हूँ तो अनुरोध करने के लिए myapp.com डोमेन और विज्ञप्ति वाहक पहचानता टोकन, यहां तक कि एक ब्राउज़र के समर्थन के साथ (यानी एम्बेड एक एचटीएमएल दर्शक एक विंडोज़ फॉर्म में या ऐसा कुछ) मुझे सहमति के बाद ऐलिस को रीडायरेक्ट करना है ??

प्राधिकरण कोड कौन एकत्र करता है? नियंत्रण प्रवाह कैसे बदलता है?

क्या किसी के पास डेस्कटॉप या एंड्रॉइड पर चल रहे OAuth 2.0 कार्यान्वयन के उदाहरण हैं?

स्रोत

2012-12-06 usr-local-ΕΨΗΕΛΩΝ

OAuth wiki lists numerous options आप उपयोग कर सकते हैं, जिनमें से सभी डाउनसाइड्स हैं। सबसे सरल में आप एक वेब ऐप चला रहे हैं जो उपयोगकर्ता को टोकन प्रदर्शित कर सकता है, और फिर उपयोगकर्ता आपके डेस्कटॉप ऐप में टोकन (और शायद रीफ्रेश टोकन) की प्रतिलिपि बनाता है।

यदि आपके पास पर्याप्त समय है तो आप डेस्कटॉप ऑपरेटिंग सिस्टम के साथ एक कस्टम यूआरआई पंजीकरण करने की जांच कर सकते हैं, और फिर ब्राउज़र से अपने ऐप पर स्वचालित रूप से स्थानांतरित करने के लिए redirect_uri के रूप में इसका उपयोग कर सकते हैं। इसका सबसे अच्छा उपयोगकर्ता अनुभव है।

एक दुर्भावनापूर्ण ऐप आसानी से इन परिदृश्यों में आपका डेस्कटॉप ऐप होने का नाटक कर सकता है, और सुरक्षा आपके उपयोगकर्ताओं पर दुर्भावनापूर्ण ऐप्स इंस्टॉल नहीं करती है।

स्रोत

2012-12-07 19:18:02 Patrick

उत्तर

संबंधित मुद्दे