Sto costruendo un'app mobile che deve comunicare con un servizio web. Per assicurarmi che l'app solo mia stia comunicando con il servizio web, eseguo l'autenticazione utilizzando OAuth 2. Il fatto di dover memorizzare un ID client + segreto nell'app binario è sfortunato, ma per recuperare un token di accesso che utilizza OAuth 2 Devo inviare un ID client e un segreto client al server. Non è molto facile:
- Creare un certificato SSL e aggiungerlo all'elenco dei certificati attendibili di un dispositivo mobile
- Fingere di essere il server e monitorare le richieste in arrivo
La richiesta conterrà l'ID del client e il segreto del client. Ora li uso in qualche altra app e comunico con il mio server.
Mi manca o non capisco qualcosa? Sarebbe meglio usare OAuth 1?