Лучшие практики для Open ID Connect с мобильным клиентом

Question

У меня будет сервер идентификации в качестве STS. Я пытаюсь аутентифицировать / авторизовать надежное мобильное приложение. Open ID Connect по-прежнему является приемлемым вариантом? Меня беспокоит удобство использования (перенаправление пользователей на URL), а также биометрия ios / android. Если Open ID Connect по-прежнему доступен, каков рекомендуемый порядок действий для этого сценария?

Answer 1

AppAuth - это четкое направление, если речь идет о «родном приложении» на мобильном устройстве.

" Это соответствует рекомендациям, изложенным в RF C 8252 - OAuth 2.0 для собственных приложений, включая использование вкладок браузера в приложении (например, SFAuthenticationSession и Android Пользовательские вкладки), где они доступны. Встроенные пользовательские агенты (известные как веб-представления) явно не поддерживается по причинам удобства использования и безопасности, описанным в разделе 8.12 RF C 8252."