Diamo un'occhiata al flusso di lavoro di OAuth di base:
L'ideadibaseècheilconsumatore(App)chiedeall'utentediconcederglil'accessoalfornitorediservizi.Ilservizioproteggel'utentechiedendogliognivoltachel'appvuoleunanuovachiavediaccesso.
Ilveroproblemaquiècheilserviziononsamoltodelconsumatore.Nelcasoincuiun'appmobilesiaunconsumatore,nonconoscenemmenoilsuoURL.
Quindi,quandoapparelapaginadiaccessoallesovvenzioni,ilserviziononsachivuoledavverol'accesso.Quindil'utentesiconfonde.
Qualèlasoluzioneaquestoproblema?
Nelcasodiun'appWeb,èpossibileutilizzarelechiaviprivategiàcondivise.Manonèun'opzioneperun'appmobile(poichéèimpossibilenasconderelachiaveprivata).
Èdavverounaminacciaallasicurezza?Suppongochel'utentedebbasaperedalcontestoincuil'appharichiestol'accesso.Maperchéalloratantisitiwebrichiedonounachiave"segreta"? (che non è un segreto quando è coinvolta un'applicazione mobile)
Modifica
Probabilmente, non ero abbastanza chiaro. Proviamo di nuovo. Ecco una foto esplicativa:
Comepuoivedere,èl'utentechedovrebbeassicurarsichel'appcorrettaacceda.
Mailmessaggio"Non so chi cerca di accedere al servizio", pur essendo preciso, è molto confuso.
Esiste una tecnica per identificare l'app in modo affidabile?