Sono nuovo di OAuth (1 & 2) e sto sviluppando il lato server di un'app mobile che ha un modulo con il pulsante "Compila dettagli da account Google". Non ho bisogno dell'autenticazione / autorizzazione a lungo raggio.
Da qui (Listing 2) Capisco che il server debba avere un controller che:
- Quando viene chiamato senza
code
nella query, farà riferimento all'utente per ottenerne uno (in un Punto di autorizzazione come: link ). - Quando viene chiamato con una
code
nella query, il server invierà una richiesta HTTP al TokenEndpoint ( collegamento ) per convertire il codice in un token di accesso (utilizzando una chiave segreta passata nella richiesta).
In questa fase, suppongo che il mio server sia in grado di utilizzare il token di accesso per recuperare i dettagli dell'utente da link - e quindi restituire i dettagli all'app dell'utente, per compilare il modulo.
Am I (lo sviluppatore del server) ha il permesso di essere pigro e restituire il token di accesso all'utente, invece dei suoi dettagli? Ad esempio, lascia che l'app utente effettui la richiesta al link .
Ciò consentirà, in futuro, di dare più energia all'app client senza modificare il codice sul mio server.
Grazie