OAuth流通过phonegap和服务器端验证用户

Question

我已经看到phonegap身份验证和基于JS的服务器应用程序验证。 我正在尝试为我的J2EE电子商务应用程序构建一个phonegap应用程序。 J2EE应用程序为我的phonegap应用程序提供了基于rest的api。我想使用OAuth身份验证，以便在移动屏幕上提示用户进行身份验证，这是如何实现的？

我有通过JS的oauth认证的知识，但问题是如何确保J2EE应用获得适当的认证用户请求。

Answer 1

你可以在你的webapp中使用Stormpath的Servlet Plugin。这为您实现JS客户端+ OAuth令牌认证流程为documented here。

当JS客户端获取返回的令牌时，它也会在仅HTTPS（安全，仅限http）cookie中返回。未来对您的应用程序的所有请求都会保留该令牌并发送它 - 服务器插件知道如何查看令牌，验证数字签名以及将用户帐户身份“绑定”到请求。

这使您可以使用服务器端会话（无服务器端状态=高可伸缩性）安全地识别哪个用户正在发出给定请求而不使用。只要您从登录中使用HTTPS直到用户注销，您就可以信任该身份。