移动HTML5应用如何使用OAuth 2协议？

Question

我正在使用PhoneGap创建一个包含HTML，CSS和JS的移动应用程序。

我需要实现某种身份验证才能连接到我的API--我认为OAuth 1或OAuth 2应该很好地实现这个技巧。

但是，对于OAuth 1，我需要将消费者密钥存储在我的JS中，这会将其暴露给任何有大脑的人。

使用OAuth 2，我可以通过完全不使用一个秘密来暴露秘密，并简单地提供一个预先向API提供程序注册的重定向URL。这保证了用户只能回到正确的URL（他们不能被劫持）。

然而，随着PhoneGap的，我真的不能提供重定向URL，因为PhoneGap的网址会是这样的文件：//www/index.html ...

怎么可能要使用OAuth 1或OAuth 2与移动HTML5应用程序？

Answer 1

利比提供了关于如何在做的OAuth 1 PhoneGap的一个很好的教程：

http://www.mobiledevelopersolutions.com/home/start/twominutetutorials/tmt5p1

为你的消费者的秘密，你可以将其存储在本机代码，然后使用一个插件来从检索来自JavaScript的本地方。 iOS上已经有一款名为Keychain的产品。

Answer 2

对于刚接触此主题的人，英特尔开发人员专区还有一个tutorial on using OAuth2 with PhoneGap/Cordova。为避免在应用程序中使用客户端密钥，您可以使用OAuth2隐式流。从上面

下面的链接是参与一个 科尔多瓦* HTML5应用做的oauth2隐格兰特流程中的步骤：

科尔多瓦
1. 开放的oauth2授权页面InAppBrowser
2. 获得来自的access_token使用loadstart事件监听器的重定向URL散列片段