Доверие и безопасность этих систем зависит от браузера. Как пользователь, я могу ввести свои учетные данные только в том случае, если браузер сообщает мне, что я подключен к своему провайдеру: указав безопасное соединение и показывая антифишинговую печать.
Вы могли бы попросить меня предоставить мои учетные данные в вашем приложении или на вашем веб-сайте и провести весь сеанс аутентификации от моего имени, но почему я должен их вам предоставить? Вы могли бы показать встроенный браузер в своем приложении или iframe на своем веб-сайте, но почему бы мне не поверить, что вы не захватили мои учетные данные?
И еще есть удобство: в моем браузере есть cookie от моего провайдера, поэтому большую часть времени мне даже не нужно вводить учетные данные.
Я думаю, что лучший подход для автономного приложения - это установить сеанс с вашим сервером приложений, а затем запустить браузер, переводящий пользователя на ваш веб-сервер с идентификатором сеанса для аутентификации этого сеанса. Затем скажите им, что аутентификация завершена, и они могут вернуться к приложению. С файлами cookie или сохраненными паролями это будет быстрее, чем ввод учетных данных в ваше приложение.