1. Zuhause
  2. Frage und Antwort
  3. Zugriff auf die eigene API in einer nativen Anwendung mithilfe von Google OAuth 2.0 zur Authentifizierung?

Zugriff auf die eigene API in einer nativen Anwendung mithilfe von Google OAuth 2.0 zur Authentifizierung?

2016-11-28 3 views
1

Wir haben eine App, die das OAuth2-Google-Anmeldesystem verwendet, und wir möchten Daten von Nutzern speichern, die sich während der ersten Registrierung auf unserem Back-End in unserer App anmelden.Zugriff auf die eigene API in einer nativen Anwendung mithilfe von Google OAuth 2.0 zur Authentifizierung?

Dies ist die Art, wie wir es bekamen ein:

  1. Benutzer Zeichen in der App Google-Anmeldung
  2. Wir eine ID-Token erhalten und diese
  3. Auf dem an den Server senden Server wir dieses Token überprüfen gilt Google-Bibliothek und die Informationen, die wir den Benutzer aus der Überprüfung

wir haben auch in den back-e Update/Insert Daten in der Lage sein müssen, wieder speichern zu Und wenn er authentifiziert ist.

Nach der ersten Registrierung, wie machen wir das?

Senden wir den ID-Token jedes Mal von Client zu Server, wenn sie die API auf unserem Back-End aufrufen? In diesem Fall, wie abgelaufene Token behandelt werden?

Quelle

2016-11-28 matje moat

Antwort

0

Wenn Sie Ihre API ein Bürger erster Klasse in Ihrem System zu machen und haben es Zugriffstoken erfordert, dass es speziell ausgegeben werden, anstatt zu akzeptieren Google Authentisierungstoken, die dann an die Client-Anwendung ausgegeben wurden Sie Sie benötigen einen Autorisierungsserver, der Tokens speziell für Ihre API ausgibt. Dieser Autorisierungsserver kann zwar weiterhin die Benutzerauthentifizierung an Google delegieren, aber nach Überprüfung der Benutzeridentität gibt er API-spezifische Zugriffstokens aus, die Ihren Anforderungen besser entsprechen, z. B. bestimmte Bereiche, die dann von Ihrer API zur Autorisierung verwendet werden Entscheidungen.

Für eine ausführlichere Beschreibung dieses Szenarios können Sie Auth0 Mobile + API architecture scenario überprüfen.

In diesem Szenario haben Sie eine mobile Anwendung ("Client"), die zu einer API ("Ressourcen Server") spricht. Die Anwendung verwendet OpenID Connect mit der Autorisierungscode-Zuteilung unter Verwendung des Proof-Schlüssels für den Codeaustausch (PKCE) zur Authentifizierung von Benutzern.

Die Informationen sind Auth0 spezifische und Sie können in der Tat Auth0 als Autorisierungsserver für Ihre eigene API verwenden, während immer noch die Google-Authentifizierung Unterstützung beibehalten, jedoch würden die meisten der Theorie auch für alle OAuth 2.0-kompatiblen Anbieter gelten.

Offenlegung: Ich bin ein Auth0-Ingenieur.

Quelle

2016-11-29 13:48:46

Verwandte Themen

 Verwandte Themen