Mobile and Native Apps Authorization Flow

Как и SPA, мобильные приложения не могут хранить в секрете client secret и должны использовать OAuth flow без этого параметра. Лучшие практики - использовать Authorization Flow, запуская внешний браузер, на контент которого Native App влиять не может (в том числе и читать его). Если сервис поддерживает PKCE, то это доп слой безопасности для Mobile и Native Flow.

Многие сайты предоставляют SDK. Лучше использовать их. У Google есть библиотека AppAuth, которая содержит реализацию OAuth 2.0 клиента для взаимодействия с любым сервером.

PreviousSingle Page App Auhtorization Flow NextAuthorization Flow

Last updated 2 years ago