让我们考虑一下,有一个 oauth 提供商托管在多个国家的多个数据中心,具有独特的域(eu、jp、in、com)。提供商发布所有域通用的客户端 ID,但为每个域发布唯一的客户端密码。现在你想开发一个移动客户端应用程序来浏览提供商的多个域。
你如何处理移动应用程序中多个域的客户端机密?是否针对此场景提出了任何预定义流程或最佳实践?
应用程序实例可以存储用户区域设置,该设置在安装后提示用户的欢迎屏幕中配置。然后这将映射到正确的域后缀。您还可以使用该设置映射到其他区域特定值。
通常移动应用程序不应该使用客户端密码,因为它是一个公共客户端,不能安全地保护一个。