实施方案包括使用 OAuth 或 OpenID 通过身份验证服务器 (AS) 对用户进行身份验证的移动应用程序 (MA) 和应为移动应用程序请求数据等服务的移动应用程序服务器 (MAS)。
MA 使用 AS 对用户进行身份验证的部分对我来说很清楚。身份验证完成后,我还可以获得一些 MA 用户数据(姓名、电子邮件、令牌等)。
接下来,用户与 MA 交互,MA 向 MAS 发送数据请求。MAS 授权 MA 用户请求数据的最佳做法是什么?
我应该在 MAS 数据库中维护用户数据吗?(我想是的)我如何跟踪来自 MA 的数据请求并确保它们来自经过身份验证的 MA 用户?...关于这部分的类似问题也让我很担心。
我阅读了很多关于如何实现身份验证的文档,但我没有找到任何关于如何在我描述的场景中使用 Oauth 或 OpenID 实现授权的文档。
我将不胜感激您的回答或至少一个提示/链接,我可以在其中找到有关此方案最佳实践的更多信息。
谢谢!