我们正在用Android视图和网站编写应用程序。我们的应用程序需要将一些数据与Facebook,Google或Twitter(称为'FGT')相关联,然后点击相关服务以返回true
(如果该数据已通过身份验证)。控制流是...AccountManager..getAuthToken之后,如何将该令牌发送给其提供程序以进行身份验证?
- 的Android生成一些数据
- 用户选择的FG或T帐户
- getAuthToken
- 上传数据+令牌,通过HTTPS POST,我们的网站
- 我们的网站(Django的,这不是问题)发送身份验证令牌到FGT
- FGT返回
true
如果喜欢令牌,false
如果它不
目标是防止攻击者调制数据并将其投掷到我们的网站curl
。我们/不需要将数据一直上传到F,G或T.我们不需要一直到混合应用程序,我们的Web服务将自己认证为F,G或T ,然后使用F,G或T的API以用户名称发布,发送电子邮件或发送推文。
对于这个地方有一个明显的答案,希望只有三个URI,F,G或T各一个,我可以在其中插入Auth令牌。这就是为什么我不希望为Facebook,Google和Twitter中的每一个下载和安装SDK,然后为每个案例编写大量特定于服务的代码。这会弄乱代码,并且当客户端请求Tumblr或MSN时让我搞砸。
(一个相关的问题:什么是的getAuthToken()
第二个参数“啊”,“邮件”???)
所以,虽然我继续读书,源代码等岗位显示怎么办困难的事情困难的方式,有人可以告诉我如何轻松做一件容易的事情吗?
oauthplayground范围原来只是低的https://www.googleapis.com/auth/userinfo.profile。 TX。我现在将写出如何使用它来获得access_token。 (我之前获得了id_token,这是特定于频道的。) – Phlip