我正在使用以下代码:
https://github.com/oktadeveloper/okta-android-example/commit/5d01efe98b9a73937c8eeec92797117ad1f8a72b
用于测试 okta 身份验证,但它会将我重定向到 okta 网站进行身份验证,我想让我不会被重定向以进行身份验证,而是根据我在我的应用程序中输入的凭据进行远程身份验证,该凭据在验证并成功后登录将我发送到我的应用仪表板。目前基于上面的代码,我被重定向到 okta,我输入我的凭据,然后它把我踢回应用程序,这不是一个很好的流程。任何人都对此有任何经验或任何想法,我可以如何避免重定向或任何可以在线测试的好例子?
您所描述的是标准 OAuth2 流程,旨在确保用户永远不会直接在应用程序中输入他们的凭据。此处的目的是避免您的应用程序能够捕获/缓存用户凭据,而这正是凭据所有者(用户)想要的。OAuth2 旨在将用户重定向到他们的身份提供者,在那里输入他们的凭据,并授权应用程序代表他们访问资源。这是当今的标准模式。
但是,对于存在信任的第一方应用程序,有一个现有的 OAuth2 流可以执行您想要的操作,称为资源所有者密码流。我不建议您实施它,但它允许您在本地捕获用户凭据并在响应中接收适当的令牌。 https://developer.okta.com/authentication-guide/implementing-authentication/password