Soy nuevo en OAuth (1 & 2), y estoy desarrollando el lado del servidor de una aplicación móvil que tiene un formulario con el botón "Rellenar detalles de la cuenta de Google". No necesito ninguna autenticación / autorización de largo alcance.
De aquí (Listado 2) entiendo que el servidor debe tener un controlador que:
- Cuando se le llama sin un
codeen la consulta, recomendará al usuario que obtenga uno (en un Punto de Autorización como: enlace ). - Cuando se llama con un
codeen la consulta, el servidor enviará una solicitud HTTP a TokenEndpoint ( enlace ) para convertir el código en un token de acceso (utilizando una clave secreta que se pasa en la solicitud).
En esta etapa, mi servidor debe poder usar el token de acceso para obtener los detalles del usuario desde enlace - y luego devuelva los detalles a la aplicación del usuario, para completar su formulario.
¿Puedo (el desarrollador del servidor) ser perezoso y devolver el token de acceso al usuario, en lugar de sus detalles? es decir, deje que la aplicación del usuario realice la solicitud a enlace .
Esto permitirá, en el futuro, dar más poder a la aplicación cliente sin cambiar el código en mi servidor.
Gracias