OAuth 流程通过 phonegap 和服务器端对用户进行身份验证
OAuth flow to authenticate user through phonegap and server side
我已经看到了 phonegap 身份验证和基于 JS 的服务器应用程序身份验证。
我正在尝试为我的 J2EE 电子商务应用程序构建一个 phonegap 应用程序。 J2EE 应用程序为我的 phonegap 应用程序提供了基于 api 的休息。我想使用 OAuth 身份验证,以便在移动屏幕上提示用户进行身份验证,如何实现?
我了解通过 JS 进行 oauth 身份验证,但想知道如何确保 J2EE 应用程序获得正确的经过身份验证的用户请求。
您可以使用 Stormpath 的 Servlet Plugin in your webapp. This implements the JS client + OAuth token authentication flow for you as documented here。
当JS客户端获取到返回的token时,也是在一个HTTPS-only(secure,http only)cookie中返回的。以后对您的应用程序的所有请求都将保留该令牌并发送它 - 服务器插件知道如何查看令牌、验证数字签名以及 'bind' 请求的用户帐户身份。
这使您可以安全地识别哪个用户正在发出给定请求,而无需 使用服务器端会话(无服务器端状态 = 高度可扩展)。只要您从登录到用户注销都使用 HTTPS,您就可以信任该身份。
我已经看到了 phonegap 身份验证和基于 JS 的服务器应用程序身份验证。 我正在尝试为我的 J2EE 电子商务应用程序构建一个 phonegap 应用程序。 J2EE 应用程序为我的 phonegap 应用程序提供了基于 api 的休息。我想使用 OAuth 身份验证,以便在移动屏幕上提示用户进行身份验证,如何实现?
我了解通过 JS 进行 oauth 身份验证,但想知道如何确保 J2EE 应用程序获得正确的经过身份验证的用户请求。
您可以使用 Stormpath 的 Servlet Plugin in your webapp. This implements the JS client + OAuth token authentication flow for you as documented here。
当JS客户端获取到返回的token时,也是在一个HTTPS-only(secure,http only)cookie中返回的。以后对您的应用程序的所有请求都将保留该令牌并发送它 - 服务器插件知道如何查看令牌、验证数字签名以及 'bind' 请求的用户帐户身份。
这使您可以安全地识别哪个用户正在发出给定请求,而无需 使用服务器端会话(无服务器端状态 = 高度可扩展)。只要您从登录到用户注销都使用 HTTPS,您就可以信任该身份。