Ich recherchiere über das OAuth 2.0-Protokoll.

Ich geriet in das Problem, Trägertoken für Desktop- / Mobilanwendungen zu generieren, die nicht auf einem Webserver ausgeführt werden.

Der OAuth 2.0-Protokollfluss ist mir für Webanwendungen klar. Annehmenmyapp.com will zugreifenprotectedresource.com Im Auftrag von Benutzer Alice wird Alice an umgeleitethttps://protectedresource.com/oauth?redirect_uri=https://myapp.com/oauth&[...] Daher leitet der Ressourcenmanager nach Erhalt der Zustimmung den Browser von Alice auf eine Seite weiter, auf der der Autorisierungscode gesammelt und zum Abrufen des Inhaber-Tokens verwendet wird.

Dies funktioniert gut und sicher, weilprotectedresource.com erkenntmyapp.com Domain und gibt das Inhaber-Token nur für Anfragen frei, die von kommenmyapp.com

Wenn ich eine Desktop-Anwendung verwende, auch wenn ein Browser unterstützt wird (dh wenn ich einen HTML-Viewer in ein Windows Form oder ähnliches einbette)wo soll ich Alice nach einwilligung umleiten ??

Wer sammelt den Autorisierungscode? Wie ändert sich der Kontrollfluss?

Hat jemand Beispiele für OAuth 2.0-Implementierungen, die auf Desktop oder Android ausgeführt werden?