Реализация сервера OAuth 1.0 или 2.0?Собственная аутентификация мобильного приложения

Question

Существует множество ресурсов, описывающих использование OAuth с точки зрения клиентов, использования API Facebook / LinkedIn / Twitter.Хорошо.Но меня интересует реализация OAuth-сервера.Цель состоит в том, чтобы веб-приложение было доступно для мобильных устройств (нативных приложений), поэтому мне нужно настроить OAuth на моем внутреннем Java-сервере.Поэтому я хотел бы знать, как LinkedIn / Facebook / Twitter реализовал OAuth на своей серверной стороне и различает пользователей между auth_token-s и предоставляет соответствующий доступ (своего рода отображение базы данных - auth_token = идентификатор пользователя?).

Или, может быть, есть лучший способ аутентификации мобильного пользователя (я собираюсь использовать службы стиля REST для бэк-энда)?

Answer 1

Facebook, LinkedIn и Twitter реализовали OAuth в соответствии со спецификациями для OAuth 1 (Twitter LinkedIn) и черновиком для OAuth 2 (Facebook, LinkedIn).

Я бы предложил перейти к OAuth 1 или OAuth 2 Поток пользовательских агентов. Если ваш разум настроен на OAuth, то это так. Вы всегда можете начать с простой базовой аутентификации и сосредоточиться на действительно сложных деталях, а именно на разработке самого API.

Если ваш разум настроен на OAuth, проверьте этот список библиотек кода: http://oauth.net/code/. А также ознакомьтесь со спецификациями. Если вы хотите реализовать OAuth-провайдера, вы должны знать и понимать спецификации , В противном случае вы окажетесь в мире боли, ища готовые библиотеки, которые решат для вас все "OAuthy".