Я согласен с Феликсом. Хотя OAuth лучше, чем Basic Auth, ему еще предстоит пройти долгий путь, чтобы стать хорошим решением для мобильных приложений. Я играл с использованием OAuth для аутентификации приложения для мобильного телефона в приложении Google App Engine. Тот факт, что вы не можете надежно управлять секретом пользователя на мобильном устройстве, означает, что по умолчанию используется анонимный доступ.
На шаге авторизации браузера реализации Google App Engine OAuth вы переходите на страницу, на которой содержится такой текст:
«Сайт запрашивает доступ к вашей учетной записи Google для продуктов, перечисленных ниже»
YourApp (yourapp.appspot.com) - не связан с Google
и т.д.
Он берет из имени домена / хоста, используемого в URL-адресе обратного вызова, который вы можете указать на Android, если вы используете пользовательскую схему для перехвата обратного вызова.
Поэтому, если вы используете «анонимный» доступ или ваш секрет потребителя скомпрометирован, тогда любой может написать потребителю, который обманет пользователя, предоставив доступ к вашему gae-приложению.
Страница авторизации Google OAuth также содержит много предупреждений, которые имеют 3 уровня серьезности, в зависимости от того, используете ли вы «анонимный», секретный ключ пользователя или открытые ключи.
Довольно страшная штука для обычного пользователя, который не технически подкован. Я не ожидаю высокого процента завершения регистрации с такими вещами в пути.
В этом сообщении в блоге разъясняется, как секреты пользователя не работают с установленными приложениями.
http://hueniverse.com/2009/02/should-twitter-discontinue-their-basic-auth-api/