スマートフォンアプリのバックエンドとして機能するWebサービスがあります。
できるだけ苦痛を伴わずにユーザーを認証できるようにしたいのですが、OAuthを理解したと思っていても、あちこちに欠けている部分があることを認めなければなりません。
認証:
ユーザーがAndroidフォンを持っているとしましょう。彼はおそらくすでにGoogleに対して認証されており、この認証を自分のWebサービスに拡張できれば本当に素晴らしいと思います。AndroidはOAuthをサポートしているため、ユーザーはアプリを開き、Googleアカウントを使用するためのアクセス許可を付与し、アプリはユーザーをWebサービスに対して認証します。
ウェブサービス
このサービスはあらゆる種類のデバイスからのユーザーを受け入れる必要があるため、Google固有のものであってはなりません。アカウントの登録と任意のデバイスからのログインが可能である必要があります。OAuthだけで新しいアカウントを登録できるかどうか、または最初に他の種類の認証(たとえば、OpenID)が必要かどうかはわかりません。
一般的なWebサービスのフローはどうなりますか?ユーザーを登録し、APIへのアクセスを許可するための汎用API?
さらに-このサービスに接続しているデバイスを制御したくありません。OAuthにはconsumer_keyとconsumer_secretが必要であることがわかります。すべてをSSLで実行する場合、コンシューマーシークレットはまだシークレットですか、それともダミー値を使用できますか?したがって、人々がconsumer_secretを取得できるデバイス登録システムの作成を回避しますか?