デスクトップアプリケーションで委任された認証のベストプラクティス

Question

私はWindows 8 Metroアプリケーション（クライアント/サーバー）を作成しており、ユーザーが既存のアカウント（Windows Live、Google、Facebook、Yahoo、.. ）。

現在、クライアント側でOAuth 2.0を使用して、プロバイダ側からアクセストークンを取得し、そのアカウントに関する基本情報を読み取るためにサーバー側で使用できるコードを取得しています。

私は最近OpenIDについて読んだが、デスクトップアプリケーションの実装はないようだ。また、Windows LiveはOpenIDをサポートしていないようです。

だから私の質問は以下のとおりです。

• はそれだけで認証を委任するのOAuthを使用するには、悪い習慣ですか？
• クライアントのAPIアクセス用に独自のOAuthプロバイダをASP.NETに実装し、認証タスクをOAuth WebフォームのOpenIDプロバイダに委任する必要がありますか？

Answer 1

OAuthは、ユーザーの認証のみを望んでいる場合（結局のところ、認証に使用されたサービスで代理で対応できるかどうかを顧客に尋ねている場合）、過剰です。もっと具体的な例として、あなたがTwitterに認証を委任しているならば、あなたはあなたが必要としていない連絡先や他の多くのものを読むことができます。それは店の悪いレビューです。

お客様が既にWebサービスと関係しており、お客様のアプリケーションがその顧客であることを理解している場合は、若干異なります。