OAuth 2.0 für Desktop- und mobile Anwendungen
Ich recherchiere über das OAuth 2.0-Protokoll.
Ich geriet in das Problem, Trägertoken für Desktop- / Mobilanwendungen zu generieren, die nicht auf einem Webserver ausgeführt werden.
Der OAuth 2.0-Protokollfluss ist mir für Webanwendungen klar. Annehmenmyapp.com
will zugreifenprotectedresource.com
Im Auftrag von Benutzer Alice wird Alice an umgeleitethttps://protectedresource.com/oauth?redirect_uri=https://myapp.com/oauth&[...]
Daher leitet der Ressourcenmanager nach Erhalt der Zustimmung den Browser von Alice auf eine Seite weiter, auf der der Autorisierungscode gesammelt und zum Abrufen des Inhaber-Tokens verwendet wird.
Dies funktioniert gut und sicher, weilprotectedresource.com
erkenntmyapp.com
Domain und gibt das Inhaber-Token nur für Anfragen frei, die von kommenmyapp.com
Wenn ich eine Desktop-Anwendung verwende, auch wenn ein Browser unterstützt wird (dh wenn ich einen HTML-Viewer in ein Windows Form oder ähnliches einbette)wo soll ich Alice nach einwilligung umleiten ??
Wer sammelt den Autorisierungscode? Wie ändert sich der Kontrollfluss?
Hat jemand Beispiele für OAuth 2.0-Implementierungen, die auf Desktop oder Android ausgeführt werden?