iOSアプリを開発していて、FacebookなどのOAuthを利用しつつ、自社のweb apiにアクセスする際の認証・認可の方法を考えています。 具体的にはpinterestはfoursquareなどと同様の仕組みです。 解決策 数人で考えてみました。 1. 自社の web api 認証にOAuth providerのuid, tokenを使いまわす (その場に居た人が大きな声では言えないが、こうしていると言ってていて「それやばいっしょ」って話になったのであえて解決策の1に挙げてますがダメなやつ) 自社の web api でユーザーのヒモ付をOAuth providerのuid, 初回に発行されたtokenで行う token はしっかり守っていないといけないのでは? 本来、OAuth provider 認可に利用するtokenを自分のweb api認証・認可に使いまわすのはだめじゃない?
