Ich erstelle eine Desktop-Anwendung, die Spotify oauth api verwendet. Ich verwende den impliziten Zuweisungsablauf, der hier beschrieben wird: https://developer.spotify.com/web-api/authorization-guide/#implicit_grant_flowHTTPS auf localhost für OAuth für eine Desktop-Anwendung
Meine Idee ist, einen "Authentifizieren" -Button zu haben, auf den Sie klicken und Ihr Browser öffnet. Sie loggen sich ein oder genehmigen die Verbindung mit Spotify. Dann sendet es Sie an eine Weiterleitungs-URL.
Ich möchte diese Umleitung URL auf 127.0.0.1:58212 oder einen Port auf dem Loopback-Gerät festlegen.
Meine Frage ist, sollte ich https dafür verwenden?
Ich bin in Richtung Ja geneigt. Eine, weil das Zugriffstoken sicher sein muss, und ich glaube, dass andere Benutzer auf dem System die Nachricht möglicherweise lesen können, wenn es gesendet wird, und zwei, weil in der Zeit, die der Benutzer brauchte, um den Port zu übernehmen.
Also ich möchte SSL für die Verschlüsselung der Nachricht, und ich möchte sicherstellen, dass ich tatsächlich mit meiner App sprechen.
Wie erzeuge ich Zertifikate in dieser Situation? Ich denke, dass jede Instanz der Anwendung ein eigenes Zertifikat haben muss, und ich muss den Computer irgendwie informieren, um dieses Zertifikat während der Lebensdauer der Anwendung zu vertrauen.
Ich könnte auch das Zertifikat während der Installation generieren und einen Schritt während der Installation machen, die das System diesem Zertifikat vertrauen lässt.
Denke ich über den richtigen Weg nach, oder mache ich das alles falsch?
Ich benutze Elektronen und Express in JavaScript, um meine Anwendung zu schreiben.
Vielen Dank für jeden Hinweis.