L'autenticazione OpenID è intrinsecamente basata sul browser. Se volessi consentire ad un utente OpenID di autenticarsi con un'API da utilizzare in client alternativi, esiste una best practice accettata per questo?Autenticazione OpenID e accesso API
Quindi, se un utente ha provato ad accedere con il suo OpenID a un'app per iPhone, ad esempio, come funzionerebbe? L'unica cosa che posso pensare di generare un token API di qualche tipo per loro e ottenere l'utente per inserirlo manualmente da qualche parte. Questo approccio non è facile da usare.
Questo è il modo in cui siti come Basecamp funzionano, ma a me sembra ancora goffo.
Grazie per questa fantastica spiegazione. –
Sto cercando lo stesso tipo di spiegazioni e la tua risposta ha fatto molti miglioramenti, ma dove mi manca la maggior parte delle informazioni è tra il 5 e il 6. Il tuo "protocollo OAuth ** magic **" non mi aiuta molto: p Sarebbe possibile che tu mi dessi (noi?) maggiori dettagli su dove avviene la magia su come il server restful è sicuro che un utente non fidato abbia un utente ufficialmente connesso? Grazie mille! –
Quella "magia OAuth" è gestita da una buona libreria OAuth o dalla lettura delle specifiche e dall'implementazione di te stesso, ma in breve, il consumatore invia una richiesta finale al fornitore di servizi con un "codice di verifica", in cambio del quale il il fornitore di servizi invia al consumatore un "token di accesso" che può utilizzare per firmare le richieste autorizzate successive. –