ฉันกำลังดำเนินการใช้งาน OAuth ใน API ของโครงการของฉัน ในฐานะส่วนหนึ่งของโปรเจ็กต์นี้ เรามีแอปบนอุปกรณ์เคลื่อนที่ที่ตรวจสอบสิทธิ์ผู้ใช้ผ่าน API นี้ โดยใช้การให้สิทธิ์รหัสผ่าน (การให้สิทธิ์นี้จะส่งข้อมูลประจำตัวที่กำหนดไปยังเซิร์ฟเวอร์การตรวจสอบสิทธิ์อัปสตรีมที่ไม่ได้ใช้ OAuth ดังนั้นจึงจำเป็น) .
แอพมือถือนี้ยังมีฟังก์ชันที่เปิด webview ไปยังเว็บไซต์ที่กำหนดไว้ล่วงหน้าบางแห่ง แนวคิดก็คือเว็บไซต์เหล่านี้จะสามารถให้สิทธิ์ในนามของผู้ใช้โดยใช้การให้สิทธิ์ authorization_code
นี่คือที่มาของคำถามของฉัน เมื่อให้สิทธิ์เว็บไซต์ เรากำหนดให้ผู้ใช้ต้องได้รับการรับรองความถูกต้องด้วย API ของเราอย่างชัดเจน อย่างไรก็ตาม ผู้ใช้ได้รับการตรวจสอบสิทธิ์ผ่านการให้รหัสผ่านในแอป ไม่ใช่ใน WebView
เราจะถ่ายโอนการรับรองความถูกต้องจากแอปไปยัง API ได้อย่างไรเมื่อการรับรองความถูกต้องเสร็จสิ้นในแอป ความคิดของฉันคือการตั้งค่าคุกกี้ที่มีโทเค็นบนโดเมนของ API จะเป็นวิธีที่ดีที่สุดในการใช้งานหรือไม่
ขออภัยหากคำถามไม่ชัดเจนเท่าที่ควร ฉันกำลังดิ้นรนกับวิธีที่ดีที่สุดในการเรียบเรียงและอธิบายคำถามของฉัน