我們正在用Android視圖和網站編寫應用程序。我們的應用程序需要將一些數據與Facebook,Google或Twitter(稱爲'FGT')相關聯,然後點擊相關服務以返回true
(如果該數據已通過身份驗證)。控制流是...AccountManager..getAuthToken之後,如何將該令牌發送給其提供程序以進行身份驗證?
- 的Android生成一些數據
- 用戶選擇的FG或T帳戶
- getAuthToken
- 上傳數據+令牌,通過HTTPS POST,我們的網站
- 我們的網站(Django的,這不是問題)發送身份驗證令牌到FGT
- FGT返回
true
如果喜歡令牌,false
如果它不
目標是防止攻擊者調製數據並將其投擲到我們的網站curl
。我們/不需要將數據一直上傳到F,G或T.我們不需要一直到混合應用程序,我們的Web服務將自己認證爲F,G或T ,然後使用F,G或T的API以用戶名稱發佈,發送電子郵件或發送推文。
對於這個地方有一個明顯的答案,希望只有三個URI,F,G或T各一個,我可以在其中插入Auth令牌。這就是爲什麼我不希望爲Facebook,Google和Twitter中的每一個下載和安裝SDK,然後爲每個案例編寫大量特定於服務的代碼。這會弄亂代碼,並且當客戶端請求Tumblr或MSN時讓我搞砸。
(一個相關的問題:什麼是的getAuthToken()
第二個參數「啊」,「郵件」???)
所以,雖然我繼續讀書,源代碼等崗位顯示怎麼辦困難的事情困難的方式,有人可以告訴我如何輕鬆做一件容易的事情嗎?
oauthplayground範圍原來只是低的https://www.googleapis.com/auth/userinfo.profile。 TX。我現在將寫出如何使用它來獲得access_token。 (我之前獲得了id_token,這是特定於頻道的。) – Phlip