OAuth2 Flow для мобильных устройств

Question

В настоящее время мы работаем над API, который будет использоваться различными устройствами.Мы хотим использовать спецификацию OAuth2, так как она определяет несколько потоков, которые не были доступны в исходной спецификации OAuth.У меня вопрос, какой поток лучше всего подойдет для мобильного устройства, такого как iPhone или iPad?Какой поток использует приложение, такое как TweetDeck?

Просматривая Интернет, кажется, что клиенты, подобные TweetDeck, используют «Поток учетных данных имени пользователя и пароля» (обмен токенами без браузера). Может ли кто-нибудь предоставить дополнительную информацию по этой теме?*

Answer 1

Обсуждаемый вами поток имя пользователя и пароль следует использовать только при наличии доверия между конечным пользователем (пользователем мобильного устройства) и клиентом, запрашивающим авторизацию (приложение на мобильном телефоне). В этом случае кажется разумным, что это доверие будет существовать. В основном происходит то, что учетные данные отправляются на сервер авторизации в обмен на токен доступа.

Ожидается, что вы НЕ храните учетные данные. Вместо этого вы должны сохранить токен доступа и токен обновления и использовать их. Механизм обновления токенов определен в спецификации здесь , а использование токенов доступа обсуждается здесь

Answer 2

Также проверьте профиль устройства на http://tools.ietf.org/html/draft-recordon-oauth-v2-device-00

Здесь пользователь видит уникальный код на своей трубке и должен ввести этот код в браузер при входе в систему для аутентификации устройства.