通過網絡/移動應用程序使用OAuth/OpenID

Question

我目前正在設計一項服務，該服務將成爲半個Web應用程序，半個Android應用程序。每個用戶都需要能夠使用openID帳戶從Android應用程序或Web應用程序登錄。我希望首先將Google定位到與Android最容易集成的位置，但我稍後還需要一些OAuth內容，以便與Google聯繫人進行整合。

我遇到的問題是如何驗證用戶。我計劃的結構是服務器（可能使用web.py，儘管目前很靈活）以JSON爲客戶端提供數據，無論客戶端是JavaScript瀏覽器客戶端還是Android客戶端。但是，每次調用都需要確保客戶端可以訪問該數據。

• 什麼是最簡單的方法來標準化跨平臺？
• 我應該在登錄後使用會話系統進行身份驗證嗎？可以通過Android應用程序工作嗎？否則，我是否應該只需通過谷歌身份驗證每個請求？
• 從應用程序進行身份驗證時，應在何處進行身份驗證，通過服務器或直接從應用程序進行身份驗證？在這種情況下，認證令牌應該存儲在哪裏？ （我假設一個直的Web應用程序令牌應該只存儲在用戶數據庫中的表格中）

對不起，我沒有真正發現任何在線資源，澄清這些問題非常好。

Answer 1

只要您使用HTTP，平臺無關緊要。您可以使用相同形式的身份驗證和/或會話。唯一的區別是，在Andorid上，您可以使用平臺的AccountManager獲取身份驗證令牌，而無需在Google的登錄頁面輸入用戶名和密碼。

Answer 2

授權（OAuth）和身份驗證（OpenId）之間存在細微的差異。確保你知道你在做什麼。