Давайте представим следующее:
- Я разработал мобильное приложение с использованием Xamarin (совместимо с iOS / Android)
- Я хочу, чтобы оно поддерживало поток кода авторизации OAuth2 + OpenID Connectс PKCE, так что учетные данные пользователя никогда не хранятся на устройстве, а токен доступа. Токен предоставляет доступ к API, который используется для работы всего мобильного приложения. Это означает, что мобильное приложение представляет собой просто интерфейс / интерфейс пользователя.
- Считается ли мое мобильное приложение "клиентским приложением" или "Владелец ресурса "?
Третий шаг затрудняет мне это понять. Если оно считается клиентским приложением, то как оно будет следовать всему потоку кода, защитит нас от чего-либо, поскольку большинство вещей будет видно (мобильные приложения являются общедоступными клиентами, обратного канала нет)
Если эторассматривается как владелец ресурса, значит ли это, что мне придется извлекать весь выделенный сервер, отдельно от моего API, отдельно от моего сервера авторизации и только для мобильного приложения (это будет «клиентское приложение»)?
Если кто-то может пролить свет на это, пожалуйста, дайте мне знать. Название не очень правильное, если его можно отредактировать, чтобы лучше соответствовать этому вопросу, я был бы очень благодарен.