在這種情況下，OAuth和OpenID是否正確？

Question

我仍然試圖圍繞OAuth/OpenID的工作原理，因此...

我正在開發一個將在計算機和iPhone上運行的「安裝的應用程序」。給定用戶可以在多臺機器上安裝客戶端應用程序，並且所有用戶安裝的客戶端都將通過集中的Google App Engine服務進行同步。 GAE服務還將允許多個用戶通過網絡應用程序協作安裝的應用程序生成的數據。

爲了我自己的方便，我不想推出自己的身份驗證系統，並且還要從另一組憑證中取消用戶。因此，我最初考慮使用Google的clientlogin服務，但後來我認爲OAuth/OpenID會更好，因爲它允許用戶不僅可以使用Google憑證，還可以使用來自其他OpenID提供程序的憑證。此外，避免詢問用戶的登錄名/密碼似乎更安全。

我的問題是......我不確定這是OAuth/OpenID的正確用例。我沒有從任何其他服務訪問數據，我只是在尋找認證解決方案。此外，使用Google App Engine（java）完成此方案有多困難？

任何意見和/或起點將不勝感激！

Answer 1

我的問題是......我不確定這是OAuth/OpenID的正確用例。

oAuth的「用例」是：App X需要訪問App Y. App X通過您的憑證「請求」訪問App Y的權限。 App X收到「授權訪問令牌」。

就你而言，假設我理解正確，你可以讓GAE上的應用程序實現一個OpenID使用者，讓你的移動應用程序通過oAuth訪問GAE應用程序。

換句話說，你的方法似乎是一個明智的方法。