iOS App 中 OAuth 授权的实现方式

最新推荐文章于 2022-08-23 09:12:43 发布
最新推荐文章于 2022-08-23 09:12:43 发布
阅读量4.2k 收藏
点赞数
文章标签: ios safari scheme token 平台 facebook

在 iOS App 中,需要绑定微博、Twitter、Flickr 等第三方平台账号时,一般用 OAuth 授权的方式。OAuth 1.0 授权大致分为以下三步:

  1. 客户端向平台申请一个 request token,该 token 是未授权的;
  2. 客户端打开平台提供的登陆页面,引导用户输入用户名密码,对 request token 进行授权。 登陆页面的 url 中会附带一个 redirect_url,当授权成功后会重定向到这个地址,返回客户端。
  3. 客户端拿着已授权的 request token 向平台换取一个 access token,后续就使用 access token 访问平台提供资源。

OAuth 2.0 授权的流程与 1.0 有所变化,但 2、3 两步还是存在的。 关键就是其中的第二步,用户是在平台而不是客户端提供的页面上输入用户名密码, 例如淘宝绑定新浪微博的页面,域名是新浪的:

OAuth 保证了客户端始终接触不到用户名密码,这样就保证了用户账号的安全,OAuth 发明的意义就在这里。 一旦发现客户端做坏事,只需禁用相应的 access token 即可,不用担心自己的密码泄漏。

Web App 下第二步的登陆流程,一般会在打开的新窗口中进行。但在 iOS App 里,授权登陆的实现形式就可以有以下三种形式:

内嵌 WebView

这种方法是在 App 内置的 WebView 里打开登陆页面完成授权,例如新版 Instagram 绑定新浪微博 (下图),Path 绑定 Twitter 等。

许多平台提供的 SDK 都实现了这个流程,例如 sinaweiboios 使用一个嵌入 WebView 的 modal ViewController, 而人人网 SDK 则可以选择弹出浮出层或者 push NavigationController 来显示登陆窗口。

不用 SDK 的话自己实现也不难,需要在合适的地方放一个 WebView 打开登陆页面。 关键是要设置这个 WebView 的 delegate, 实现 delegate 的webView:shouldStartLoadWithRequest:navigationType: 方法, 在里面检查目标 URL 是否等于 callback redirect_url,若相等则说明授权成功,关闭 WebView 即可。

这种实现方式存在以下两个明显的缺点:

  1. 由于登陆页面是嵌入在 WebView 里的,用户无法判断这个页面是由平台提供的,还是 App 伪造的,丧失了 OAuth 的最大优势,用户的密码安全得不到保障;
  2. 不同的 App 需要向同一个平台授权时,用户需要反复输入用户名密码。跟第一点相比,这点用户体验的损伤真不算什么。

切换到 Safari 进程

这种方法是切换到 Safari 进程,打开登陆页面,完成授权后再切换到 App 进程中。 例如 Instagram 绑定 Flickr,甚至 Flickr App 登陆到自己的账户都是用这种方式实现的。

实现这种方法,能切换成功的关键在于 App 需要注册自己的 URL scheme, 并用一个符合此 scheme 的 URL 作为授权完毕的回调地址, 这样浏览器打开回调地址时就能返回 App。 例如我们的全国空气污染指数的 url scheme 是 dirtybeijing, 授权完成的回调地址就是 dirtybeijing://sns_authorized/weibo。 在 app delegate 中实现application:openURL:sourceApplication:annotation: (iOS ≥ 4.2) 或者application:handleOpenURL: (iOS < 4.2) 即可捕获通过 URL scheme 打开 App 的事件,从而完成 OAuth 授权的后续流程。

相比内嵌 WebView,这种方法的优点:

  1. 登陆页面通过操作系统浏览器打开,用户可以通过检查地址栏中的域名,以及是否使用了 https 来确认登陆页面不是第三方 App 伪造的;
  2. 同一个账号多次授权不同的 App 时,可以共享浏览器 cookie,使得后续的授权不需要再输入用户名密码。

当然,这种方法也有其自身的缺点:

  1. 兼容性: 由于依赖 iOS 多任务切换,所以一般只能用于 4.0 以后的操作系统。 iOS 4.0 之前不支持多任务,所以 App 需要在切换到 Safari 之前自行保存现场, 在从 Safari 返回以后再自行恢复现场,实现比较复杂。
  2. 多任务切换,会给用户一种流程中断的感觉。
  3. 会在 Safari 中留下一个未关闭的 tab。

腾讯微博的授权页面上,就指出了必须用这种方法完成授权,禁止使用内嵌的方法。 不过大多数开发者貌似没怎么严格执行,腾讯的审核也不严格。

切换到官方应用进程

跟上一种方法类似,只不过将 Safari 替换成了平台的官方应用,最典型的就是 Facebook。 由于用户已经在平台的官方 App 中登陆过,所以授权过程不需要再输入用户名密码,也不会在 Safari 中留下未关闭的 tab, 在保证安全性的前提下体验是最好的。 但限制也很明显:需要官方应用支持、需要用户已安装过官方应用。

Facebook SDK 中的授权过程,首先尝试使用官方 App,若未安装 Facebook App 或者操作系统不支持多任务, 则会打开 Safari 完成授权;若 Safari 仍然打开失败,则会在嵌入的 WebView 打开登陆页面。 完整实现可参考 Facebook.m 中的authorizeWithFBAppAuth:safariAuth: 方法。

总之,建议 App 开发者需要实现 OAuth 授权时,为保证安全性,尽量使用切换到 Safari 或者官方应用的方式进行。 用户在使用 App 时,若第三方账号的登陆界面是 app 内嵌的,一定要小心。 类似下图这种绑定形式太吓人了,直接向一个 App 透露微博的用户名密码,用着实在不放心。

CPLASF_lixj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Swift-AppAuth是用于iOS和MacOS的OAuth和OpenIDConnect客户端
08-14
AppAuth是用于iOS和MacOS的OAuth和OpenID Connect客户端
OAuthLogin:PHP 第三方登录授权 SDK,包含QQ、微博、Github,其他第三方等待集成~
05-01
OAuthLogin :sparkles: PHP 第三方登录授权 SDK,集成! 目前已经集成好了QQ、微博、Github的授权登录,能够拿到用户信息,但是可能还是有一些地方没有考虑到,未做处理,后期再继续修改吧 参与我 如果有任何想法或需求,可以在 issue 告诉我,同时也欢迎各种 pull requests 环境依赖 PHP5.4以上,且需要开启curl扩展、session.auto_start扩展 安装 composer安装 composer require sy-records/oauth-login 手动加载 需要什么登录就引入什么登录文件,例如testdemo 用法 演示Demo 访问test文件的index.html。补全对应文件夹index.php和callback.php的参数即可 Demo截图 QQ授权登录 use Auth\QqConnect; # https://co
ios版团购电商app源码
07-15
含原型、素材、接口文档。通过该iOS源码,你将学会如何来进行iOS项目设计,界面定制及转场动画,多线程操作,地理定位,新浪微博SSO授权登录,本地数据缓存,了解OAuth2.0技术等。
uni-appAPP和小程序微信授权方法
11-28
uni-app 介绍 uni-app 是一个使用 Vue.js 开发跨平台应用的前端框架。 适用平台:Android、iOS、微信小程序。实现了一套代码,同时发布到Android、iOS、微信小程序。 参考官方:https://uniapp.dcloud.io/ APP微信授权 检测服务商 检测手机上是否安装微信、QQ、新浪微博等。 uni.getProvider({ service: 'oauth', success: function (res) { console.log(res.provider); } }); 授权登录 获取openid,(unionid
使用Swift5 + MVVM实现的微博App iOS端代码
最新发布
03-03
使用Swift5 + MVVM实现的微博App iOS端代码(纯代码) 项目功能 原创微博功能 转发微博功能 Emoji表情功能 撰写微博界面 新特性功能 消息提醒功能 多图展示功能 富文本功能 多图展示功能 下滑自动加载功能 上/下拉刷新功能 OAuth 授权登录功能 已完成 发布微博功能(API已不提供) 图片上传功能(API已不提供) 消息功能 发现功能 我的功能 SVProgressHUD 提醒功能 用到的技术点 TableView高度缓存 SDWebImage圆角处理 FMDB数据缓存 OAuth授权 单张图片的高度计算 Cell滚动自动加载更多 撰写页面的动画处理 发布界面的Emoji处理 多图的展示 使用的第三方库 AFNetworking SDWebImage YYModel SnapKit FMDB pop HMPhotoViewerController 下期优化 使用 Swift 版的字典转模型,使用Codable 替换 YYModel 使用 Swift 的网络请求库, 替换 AFNnetworking 更加 Swift~
新浪微博iOS平台SSO授权认证原理分析
xuxunno1的专栏
07-08 820
众所周知,新浪微博的开放平台采用Oauth认证技术来实现第三方应用对微博数据的访问。Oauth认证的好处是应用方并不需要保存用户的帐户与密码,只需要保存经过用户授权的Key与Secret组合即可对于平台上的所有接口资源进行访问,在传输过程也可以避免被不怀好意的人通过截包分析的方式获取到用户的帐号与密码。APP授权时会通过WebView 加载新浪微博的授权页面,用户进入这个页面登录新浪微博,进行
用第三方会员系统(腾讯平台网站接入oauth)
helin916012530的专栏
12-18 2790
接入腾讯平台,用腾讯的用户登陆系统,oauth,现分享一下使用心得。首先简化说明一下,帮您整理一下思路。  大致分为两部分:  一、准备工作,申请appid,appkey,填写回调url,下载SDK放入程序  二、根据开发流程大致是这样:调用下载的SDKAPI/qqConnectAPI下qq_login方法弹出登陆框-->获取code和state-->获取access_token-->获
Swift -- 第三方登录之微信登录
多分享一点点,共同进步一点点
05-26 1742
Swift 微信SDK登录获取用户信息
APP授权登录】创建新浪微博(sina)移动应用
qq_39236283的博客
07-20 822
微博创建移动应用
oAuth
闪星的博客
10-06 327
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用
AppAuth-iOS:iOS和macOS SDK,用于与OAuth 2.0和OpenID Connect提供程序进行通信
05-12
适用于iOS和macOS的AppAuth,而tvOS是用于与和提供程序进行通信的客户端SDK。 它努力遵循那些惯用的实现语言样式,直接映射那些规范的请求和响应。 除了映射原始协议流外,便捷方法还可用于协助执行常见任务,例如使用新令牌执行操作。 它遵循 SFAuthenticationSession列出的最佳做法,包括在iOS上使用SFAuthenticationSession和SFSafariViewController进行身份验证请求。 由于介绍的安全性和可用性原因,明确不支持UIWebView和WKWebView 。 它还支持OAuth的扩展,该扩展是在使用自定义URI方案重定向时创建的,用于保护公共客户端授权代码。 该库对其他扩展(标准或其他扩展)很友好,能够处理所有协议请求和响应的其他参数。 对于tvOS,AppAuth实现了以允许通过辅助设备进行tvOS登录。 规格
ali_auth flutter 一键登录
zqwily的博客
08-23 671
【代码】ali_auth flutter 一键登录。
Android仿人人客户端(v5.7.1)——Auth授权认证(整理流程,重构代码)
xuela-net
04-01 185
转载请标明出处:http://blog.csdn.net/android_ls/article/details/8748901 声明:关于仿人人项目,我是边看人人官方提供的API,边思考,整理好思路,就开始编写代码。有些地方考虑的不是很全面,大家在阅读的时候,对某些细节的处理,若有什么好的处理方式,欢迎交流。(请注意交流时的用词,文明沟通,谢谢。) 人人授权认证已聊了两篇了,这篇重点是整理思...
iOS 分享 第三方登录 Twitter 注册应用以及读写权限
卡尔特斯
10-20 8840
1.打开twitter的官网 https://dev.twitter.com 如果还没有注册账号的,需要注册账号,已经注册账号的,请先登录: 2.选择其的Documentation,如下图: 3.进去界面,选择Manage My Apps选项,如下图: 4.进去创建应用的界面,如果已经创建了应用,可以点击左边你的应用查看应用的信息,如果需要重新创建应用,需要点击右边的Creat New App,如下图: 5.创建应用的信息填写,回调地址不要忘记填写,如下图: 6.如果要想分享的时候,可以看到分享
php ios auth2.0,统一身份认证(OAuth2.0)
weixin_33785971的博客
03-20 314
认证大部分API的访问如发微博、关注微信公众号、查询用户数据都需要用户身份,目前厦大信息化开放平台用户身份鉴权采用的是OAuth2.0。OAuth2.0较1.0相比整个授权验证流程更简单更安全,也是未来最主要的用户身份验证和授权方式。申请需要提供网站名称:网站介绍:回调地址:申请后会获得client_id:client_secret:OAuth2.0协议授权流程其Client指第三方应用,Res...
Oauth 第三方授权登陆 facebook google twitter instagram
我是要成为海贼王的男人!
03-05 2400
因为公司项目要用到第三方授权,所以记录学习一下 参考学习链接 OAuth 2.0 的简单解释 OAuth 2.0 的四种方式 流程图 (A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获取资源。 (F)资源服务器确认令牌无误,同意向客户端开放资源。 注意 不管哪一种授权方式,第三方应用申请令牌之前,都必须先到系统
如何使用Twitter OAuth 2.0对用户进行身份验证
代码教主
06-11 6013
在本教程,您将学习如何使用Twitter API 1.1和OAuth 2.0对应用程序的用户进行身份验证并发布测试推文。 为什么我们需要身份验证框架? 要创建代表用户帐户的服务并使其真正安全且易于开发,我们需要三件事: Twitter应用 REST API 访问用户帐户 为了将各个部分组合成一个工作机制,我们需要一个身份验证框架。 作为Twitter标准,REST ...
iOS实现OAuth2.1
05-04
3. 实现授权流程。使用第三方库提供的方法来执行授权流程。通常,您需要向授权服务器发送请求以获取授权代码,并将授权代码交换为访问令牌。一些库提供了UI控件来处理授权流程,使它们更容易集成到您的应用程序。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值