Robię badania protokołu OAuth 2.0.

Utknąłem w problemie generowania tokenów nośnika dla aplikacji desktopowych / mobilnych, które nie działają na serwerze WWW.

Przepływ protokołu OAuth 2.0 jest dla mnie jasny dla aplikacji internetowych. Przypuszczaćmyapp.com chce uzyskać dostępprotectedresource.com w imieniu użytkownika Alice, a następnie Alice zostaje przekierowana dohttps://protectedresource.com/oauth?redirect_uri=https://myapp.com/oauth&[...] więc menedżer zasobów, po uzyskaniu zgody, przekierowuje przeglądarkę Alicji na stronę, która zbierze kod autoryzacji i użyje go do uzyskania tokena okaziciela.

To działa dobrze i bezpiecznie, ponieważprotectedresource.com rozpoznajemyapp.com domena i zwalnia token okaziciela tylko do żądań pochodzących zmyapp.com

Jeśli korzystam z aplikacji komputerowej, nawet z obsługą przeglądarki (tzn. Osadzić przeglądarkę HTML w formularzu Windows lub podobnym)gdzie mam przekierować Alice po uzyskaniu zgody?

Kto zbiera kod autoryzacyjny? Jak zmienia się przepływ sterowania?

Czy ktoś ma przykłady implementacji OAuth 2.0 uruchomionych na komputerze stacjonarnym lub Androida?