Я создаю собственное мобильное приложение на android и ios и несколько наткнулся на понимание процесса, который мне нужно пройти для аутентификации пользователя.
Я настроил сервер авторизации для потока соединения с открытым id, реализованный на сервере идентификации 4. Однако, когда дело доходит до реализации этого в мобильном приложении, я изо всех сил пытаюсь найти лучшие практики.Я настроил свой гибридный поток и обработал экран входа в систему с помощью браузера.Однако это, кажется, немного раздражает как пользовательский опыт.
Большинство крупномасштабных приложений, таких как Facebook, Pinterest и почти все другие, которые я пробовал, реализуют свои пользовательские экраны входа в систему как то, что выглядит как собственные входные страницы (могут быть веб-просмотры).
Моя проблема заключается в том, что для реализации этого изначально я считаю, что мне придется использовать грант с полномочиями для пароля владельца ресурса, который, похоже, вызывает неодобрение.Единственный другой способ, которым я могу думать об этом, - визуализировать страницу в веб-представлении и стилизовать ее так, чтобы она выглядела как родная.Хотя, прибегая к этому, довольно немногие люди полагают, что это тоже плохая практика и что Google заявил, что это небезопасно.
Мой вопрос можно сформулировать так.Что делают такие крупномасштабные приложения, как Facebook, чтобы обеспечить безопасность своих приложений без ущерба для работы с браузером?Есть ли в этих приложениях OIDC?Я полностью упускаю суть?