移动应用认证Google凭证的正确方法是什么？

Question

第三方移动应用程序想要我的Google凭据，不好。但他们有另一种选择吗？

我知道OAuth，我知道在网络上，应用程序/网站已经要求用户登录到他们的facebook/google/twitter/OID帐户，并获取身份验证令牌。

我的问题是：1。 能移动应用程序做同样的（安卓，WP7专门） 2.如果应用程序是想成为谷歌阅读器应用程序（自三是WP7没有谷歌的应用程序RSS阅读器，第三方制作了这样的应用程序）。那个应用程序可以作为我的谷歌阅读器在手机上运行，​​而不用我给我的usrname/pswd？

这似乎只是方式来冒险放弃我的谷歌凭据随机第三方应用程序...

Answer 1

有一些尝试使用OAuth。 Twitter有XAuth（我忘记了它是如何被破解的，它可能仍然处于测试阶段）。还有Facebook Connect。他们都坏了。

主要有两个问题：

• 有不同的网络浏览器不信任UI（和它并不难写一个外观类似的“假的浏览器”）。涉及网络浏览器笨拙，我不确定浏览器可以在Android上启动应用程序。
• 有没有责任，因为任何应用程序可以假装是任何其他应用程序。你在应用中嵌入的任何秘密都不会是那个秘密。 （我个人认为这更像是一个用户界面问题。）

我可以想到一个不错的解决方案：有一个官方的Google帐户应用程序。在Android上，您可以将其作为一项活动启动，并在完成时为您提供身份验证令牌。在iOS上，您可以使用网址做同样的事情。我不确定它是如何在WP7或BB上工作的。

这解决了第一个问题，因为用户需要已经登录，第二个问题，因为您通常提供了一些启动您的应用程序的标识符。 （嗯，它解决了用户谁不输入他们的密码到随机应用程序的问题。）