我正在移动应用程序的后端工作,使用ASP.NET MVC 4 Web Api构建RESTful API。该应用将在iOS和Android上运行。我的用户将只能使用他们的Facebook帐户登录,并且只有在登录后才能使用整个功能。移动应用程序的REST API上的OAuth
我对移动应用程序没有太多经验,这更多的是设计问题:哪两种方案(或者第三种方案?)对于您来说似乎更适合谁来负责Facebook身份验证:
- 移动客户端负责。在不访问后端的情况下,它直接与Facebook对话,允许用户输入他的凭证,当它从Facebook获得令牌时,它会首次点击后端,并在每个请求中将令牌传递给后端。
- 后端API负责。移动客户端尝试从中访问资源。后端从客户端获取认证令牌,因此它重定向到Facebook登录。用户输入凭证并将Facebook回复回到传递令牌的后端。然后,后端愿意回答客户对所需资源的回应。
当然,第二个方案是指后端应该使用包像DotNetOpenAuth处理OAuth的,而在第一个场景中,这一切发生在移动客户端。
伟大的问题@ zafeiris.m。你最终使用了什么?你学到了什么? – 2015-05-15 06:00:49