如何在没有用户名和密码的情况下验证移动应用程序?

• 当应用程序第一次启动时,我测试 有一个身份验证令牌和 如果它仍然有效
• 如果没有,我使用[startActivityForResult][1]打开我的登录活动
• LoginActivity使用 WebView https://www.yourdomain.com/authapp )从web应用程序。
• 如果用户点击“grant”,web应用程序将生成一个身份验证令牌,将其写入数据库并重定向到响应页,将生成的身份验证令牌附加到URL(例如。 https://www.yourdomain.com/authresponse?auth_token=dshf84z4388f4h

• WebLogin活动如下所示:(注意:您必须重写“shouldOverrideUrlLoading”以保持在同一个WebView中。否则,当您收到一些重定向消息时,新浏览器将打开)

  公共类WebLogin扩展活动{

  受保护的void onCreate(Bundle savedInstanceState){ 超级.onCreate(保存状态);

  WebView webview = new WebView(this);
  webview.setWebViewClient(new WebViewClient() {  
  
      @Override  
      public boolean shouldOverrideUrlLoading(WebView view, String url){
          view.loadUrl(url);
          return true;  
      }  
  
      @Override
      public void onPageFinished(WebView view, String url) {
  
          if(StringUtils.contains(url, "?auth_token=")){
  
              // extract and save token here
  
              setResult(RESULT_OK);
              finish();
          }
      }
  });
  
  webview.loadUrl("https://www.yourdomain.com/authapp");
  webview.getSettings().setJavaScriptEnabled(true);
  setContentView(webview);
  

  }

[1]: http://developer.android.com/reference/android/app/Activity.html#startActivityForResult(android.content.Intent ,内景)

当前的OAuth规范(RFC5849)仍然要求用户向保存受保护资源的网站输入凭据。在移动应用程序上,这种用户体验并不是最好的(正如您指出的那样,移动应用程序需要用集成的web视图显示auth页)。 OAuth2.0通过指定不同的访问授权类型来解决这个问题。这个标准还在起草中。在此之前,您最好的选择可能是修改oauth1.0的流程,以适应移动设备,因为许多大型网站已经在这样做了(例如Twitter) xAuth 和他们的 developer API ).

我正在做类似于选项(1)的事情。创建一个唯一的链接(甚至只包括会话id),然后通过SMS发送。有许多廉价的批量短信服务提供商提供了简单的api来实现这一点。当用户点击短信中的网址时,就会打开手机浏览器并登录。

之后,如果手机接受cookies,您可以设置一个。否则,用户将始终必须通过该唯一链接进入。