我目前正在构建一个 oAuth2 服务器,以便外部客户端/设备可以访问我的服务中的数据,而不必在每次请求时都发送用户凭据。在花了一整天阅读大量教程和在线文档之后,我终于掌握了 oAuth 的工作原理,但是,还有一件事我不太确定......
向 oAuth 服务器发送授权码请求时,我应该如何处理对移动设备和非网络服务器设备的回调?
例如,这个对我的 oAuth 服务器的请求将发送一个授权码作为回调到指定的网络服务器(在这种情况下是http://client-url.com )
http://mydomainname/oauth2/?client_id=test&grant_type=authorization_code&client_details=test&redirect_uri=http://client-url.com&response_type=code
http://client-url.com上的服务器将收到包含授权代码的响应,开发人员将能够相应地存储用户的 oAuth 凭据。
显然移动设备不是网络服务器,那么有没有标准化的方法来处理这个问题?我在网上读到,您可以在 iOS 和 Android 应用程序中定义称为自定义 URI 方案的东西。但是那里的其他移动平台呢?和桌面应用程序?我希望我的 API 可以从尽可能多的平台和设备上访问。
我问这个问题的原因是因为我想向我的 oAuth 服务器添加验证,以便用户只能使用有效的回调 URL 注册应用程序。我不确定是否应该允许除有效 URL 之外的任何其他类型的输入作为回调。
任何人都可以对此有所了解吗?我想避免花费数小时在所有设备上验证和测试这一点,因为我确信过去为多个移动平台开发过的任何人都必须对此有所了解。
提前致谢。