在桌面应用程序中委派身份验证的最佳做法

Question

我正在编写Windows 8 Metro应用程序（客户端 - 服务器），并希望允许我的用户使用其现有帐户（Windows Live，Google，Facebook，Yahoo，.. .. ）。

目前我在客户端上使用OAuth 2.0来检索可用于服务器端的代码，以便从提供程序获取访问令牌并阅读有关该帐户的基本信息。

我最近读了OpenID，但似乎没有桌面应用程序的实现。另外，Windows Live似乎不支持OpenID。

所以我的问题是：

• 它是一个不好的做法，使用OAuth只是委托认证？
• 我是否应该在ASP.NET中实现自己的OAuth提供程序以访问我的客户端的API，并将身份验证任务委托给OAuth Web表单中的OpenID提供程序？

Answer 1

如果你只想验证一个用户（毕竟，你问你的客户是否可以用他们的服务来验证身份）OAuth是矫枉过正;或者，作为更具体的例子，如果您将身份验证委托给Twitter，则还可以阅读所有联系人以及许多您不需要的其他内容 - 这可能足以让某些客户使用您的应用程序并给予这在商店里是一个糟糕的评论。

当客户已经与Web服务有关系并且明白您的应用程序是客户端时，它会略有不同。