如何解决OAuth2 - 移动应用重定向问题,停留在浏览器中
我知道存在类似的线程,但我找不到适合我的用例的解决方案。
我正在尝试通过 Flutter 制作的移动应用程序使用 OAuth2 进行身份验证。作为示例,我将展示 Android 案例。
我提供的重定向 url 必须以 http(s) 开头,否则身份提供者会拒绝它。我在 AndroidManifest.xml 中添加了以下活动:
<activity android:name="com.linusu.Flutter_web_auth.CallbackActivity">
<intent-filter android:label="Flutter_web_auth" android:autoVerify="true">
<action android:name="android.intent.action.VIEW" />
<category android:name="android.intent.category.DEFAULT" />
<category android:name="android.intent.category.broWSABLE" />
<data android:scheme="http" android:host="my-app" />
</intent-filter>
</activity>
我正在使用 lib oauth2_client 发出请求。
var myoauth2client = new Myoauth2client(redirectUri: "http://my-app",customUriScheme: "http");
AccesstokenResponse tknResp = await myoauth2client.getTokenWithAuthCodeFlow(
clientId: 'xxxxxxxxxxxxxx',clientSecret: 'xxxxxxxxxxxxxx',scopes: ['the.profile']).catchError((onError) {
print("Error $onError");
});
这样,我就可以很好地重定向到浏览器中的身份提供者登录页面。使用凭据登录后,我不会重定向到我的应用程序。相反,我被重定向到浏览器中的无效 url。请注意,如果我强制使用我的应用程序而不是浏览器打开 url,则效果很好。
我已阅读有关 Android 应用链接的信息,但我知道它需要在服务器端进行编辑,而我无权访问(此处的目标是让独立的移动应用进行身份验证)。
有人可以指导我如何重定向到我的应用程序吗? (如果这是不可能的并且需要我这边的服务器,那么流程是什么?)谢谢! :)
解决方法
如果您想使用 https 重定向 URI,则必须使用应用链接才能返回应用。这是一个棘手的流程。
有一个众所周知的问题,您需要一个用户手势来接收响应并避免您描述的问题。
一种可能的快速解决方案是将授权服务器配置为在每次用户登录后显示同意屏幕,以充当用户手势。
有一个我的代码示例,您可以在模拟器上运行它,它有一些指向博客文章的链接,这些文章更详细地解释了棘手的问题:
Android Claimed HTTPS Schemes Code Sample
虽然它是用 Kotlin 编写的,但您可能会发现在 Flutter 中更难实现移动安全。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。