Oauth 2.0 между собственным сервером и мобильным клиентом

Question

Я разрабатываю приложение с мобильным клиентом, используя платформу node.js с модулем паспорта. Я думал о внедрении Oauth 2.0 для аутентификации с мобильного на сервер. Я не могу понять, какой идентификатор приложения должен предоставить мобильному клиенту. Я также хочу удостовериться, что я могу отличить, если пользователь вошел в систему с использованием другого мобильного телефона, к которому он ранее входил.

Answer 1

Приложение будет зависеть от того, какую паспортную службу вы используете. Если вы используете facebook или twitter, вам придется перейти на developer.facebook.com или на developer.twitter.com и настроить приложение. Это будет идентификатор. Более конкретно, твиттер вам нужно

твиттер-потребитель ключ твиттер-потребителя секрет твиттер обратного вызова

и facebook вам нужно

facebook-клиент-идентификатор facebook-клиент-секретный facebook-callback

Тогда вы должны пройти аутентификацию пользователя. После аутентификации вы можете сделать звонок на ваш сервер для передачи на мобильном устройстве или любой другой информации, которую вы хотите отслеживать. Ключи не нужно будет хранить на мобильных устройствах, мобильным устройствам просто нужно будет вызвать конечную точку на вашем сервере для обработки аутентификации.

Answer 2

ИМХО, я думаю, что приложение id является произвольным, насколько оно собственное. Как вы можете видеть в client.js от oauth2orize example, это просто «abc123».

Для получения дополнительной информации см. this section of "The OAuth 2.0 Authorization Framework".