Я работаю над веб-API (asp. net framework), который должен поддерживать клиентов мобильных устройств (android, ios) и использовать внешние службы входа (facebook, google). 1001 * ссылка здесь :
Я создаю веб-API, который позволяет пользователю входить в систему через facebook в мобильном приложении. На клиенте, когда пользователь успешно входит в facebook, я могу получить токен доступа. Я отправлю этот токен обратно на свой веб-сервер api. Я буду использовать этот токен доступа, чтобы получить информацию о пользователе из Facebook. После этого я сгенерирую свой токен доступа для клиента, чтобы он мог получить доступ к моему api. Это правильный и безопасный (с точки зрения безопасности) сценарий?
В веб-приложении, на шаге 4 на изображении выше, когда клиент получает одноразовый код авторизации, он отправит код на сервер веб-приложения через перенаправление на ExternalLoginCallback. С MS OWIN я могу получить такую информацию для входа в систему, как:
var loginInfo = await AuthenticationManager.GetExternalLoginInfoAsync();
Здесь (ExternalLoginCallback action) похоже, что owin многое скрывает и сбивает меня с толку. Я не вижу "одноразового кода авторизации". Как мне его найти? Я не вижу токенов ресурса или что-то в этом роде.