我正在构建一个可下载的 Web 应用程序,它被打包为 ZIP 存档。当下载的网站管理员是通过安装程序获取的。作为安装程序的一个步骤,他被要求从主站点“注册”他的副本。注册成功后,我需要为我的软件的特定副本颁发一个共享密钥/秘密,以便通过 OAuth 进行进一步的 API 访问。
请告知最安全和正确的方法来执行此操作。同样,这里是步骤:
- 软件已下载(每个人都使用相同的 zip,不能包含秘密)
- 网站管理员打开向导(通过将他的浏览器指向本地主机)
- 向导重定向到 example.com,用户在其中输入他的凭据
- 然后将用户连同
- oauth 密钥
- 共享秘密
- 未来软件可以通过 OAuth 令牌直接访问 API。
另一个问题是我可以在初始握手期间获得令牌还是应该稍后执行该步骤。
