OAuth

[januswel]

• Github
• Facebook
• Twitter

[dictav]

@januswel @lestrrat
OAuth 周りを再度調べてみたんですが、キーをアプリに内包する必要があったり、結局サーバーが必要だったりして、素直に実装すると重たくて、しかもあんまりセキュアじゃない感じです。
Safari/Chromeで https://builderscon.io/login?.next=%2Fdashboard%3F にアクセスさせて、特定のクエリパラメータがある時だけアプリにリダイレクトさせるような作りだと簡単かつセキュアで良いと思うのですが、どうでしょうか？

[lestrrat]

なるほどー？ nanp.builderscon.ioを作ったほうがいいのかなー。中身はほぼ一緒で。

[dictav]

データは共通ですよね？
たぶん、builders con.io/login でも auth_token 受け取った後に Dashboard にリダイレクトしていると思うんですが、エンドポイントかクエリパラメータでそのリダイレクト先をアプリにできると嬉しいです。
別にデプロイする必要はないかなーと思ってます。

[lestrrat]

うーむ、あんまりそういう混ぜる系のことしたくないなー。

[januswel]

キーをアプリに内包する必要があったり

apk は解析できちゃうのでセキュリティはないも同然ですね…

なるほどー？ nanp.builderscon.ioを作ったほうがいいのかなー。中身はほぼ一緒で。

これがいいのかな… ?
JWT はセキュリティ的にもダメというハナシを聞いたし…

[dictav]

1月以上空いてしまいました。申し訳ないです。
アプリの認証プロセスなのですが、以下のようでどうでしょうか？

前半部分、builderscon.io と動きが一緒だと思うんですが、間違っていたらすみません。
Set-Cookie の周辺が変わっていて、One-Time-Password (OTP) を生成してアプリ用のページに遷移します。
アプリ用のページには OTP が記載されており、ユーザはOTPを記憶して nanp へ戻ります。
(iOS9 以降や Android 6 以降であればApp Linkなどでドメインに紐づいたアプリへ自動的に戻す仕組みを入れれるかと思います)
nanp ではOTPを入力することで octav の auth_token を取得します。
以降は直接 octav に API リクエストを送信します。

[dictav]

画像はイメージです (すごい言葉だ)
A-1 からブラウザ起動して S-1, S-2, S-3 と進んで A-2 に戻る様な動きを考えています。