在桌面應用程序中委派身份驗證的最佳做法

Question

我正在編寫Windows 8 Metro應用程序（客戶端 - 服務器），並希望允許我的用戶使用其現有帳戶（Windows Live，Google，Facebook，Yahoo，.. .. ）。

目前我在客戶端上使用OAuth 2.0來檢索可用於服務器端的代碼，以便從提供程序獲取訪問令牌並閱讀有關該帳戶的基本信息。

我最近讀了OpenID，但似乎沒有桌面應用程序的實現。另外，Windows Live似乎不支持OpenID。

所以我的問題是：

• 它是一個不好的做法，使用OAuth只是委託認證？
• 我是否應該在ASP.NET中實現自己的OAuth提供程序以訪問我的客戶端的API，並將身份驗證任務委託給OAuth Web表單中的OpenID提供程序？

Answer 1

如果你只想驗證一個用戶（畢竟，你問你的客戶是否可以用他們的服務來驗證身份）OAuth是矯枉過正;或者，作爲更具體的例子，如果您將身份驗證委託給Twitter，則還可以閱讀所有聯繫人以及許多您不需要的其他內容 - 這可能足以讓某些客戶使用您的應用程序並給予這在商店裏是一個糟糕的評論。

當客戶已經與Web服務有關係並且明白您的應用程序是客戶端時，它會略有不同。