Veamos el flujo de trabajo básico de OAuth:
LaideabásicaesqueelConsumidor(Aplicación)lepidealusuarioqueleotorgueaccesoalProveedordeservicios.Elservicioprotegealusuariopreguntándolecadavezquelaaplicaciónquiereunanuevaclavedeacceso.
Elproblemarealaquíesqueelservicionosabemuchosobreelconsumidor.Enelcasodequeunaaplicaciónmóvilseaunconsumidor,nisiquieraconocesuURL.
Entonces,cuandoaparecelapáginadeaccesodeconcesión,elservicionosabequiénrealmentequiereacceder.Asíelusuarioseconfunde.
¿Cuáleslasoluciónaesteproblema?
Enelcasodeunaaplicaciónweb,sepodríanusarclavesprivadaspreviamentecompartidas.Peronoesunaopciónparaunaaplicaciónmóvil(yaqueesimposibleocultarlaclaveprivada).
¿Esrealmenteunaamenazadeseguridad?Supongoqueelusuariodebesaber,desdeelcontexto,aquéaplicaciónhasolicitadoacceso.Pero,¿porquétantossitioswebrequierenunaclave"secreta"? (lo que no es realmente un secreto cuando se trata de una aplicación móvil)
Editar
Probablemente, no estaba lo suficientemente claro. Intentemoslo de nuevo. Aquí hay una imagen explicativa:
Comopuedever,eselusuarioquiendebeasegurarsedequelaaplicaciónadecuadatengaacceso.
Peroelmensaje"No sé quién intenta acceder al servicio", aunque es preciso, es muy confuso.
¿Existe una técnica para identificar la aplicación de manera confiable?