У меня есть задача реализовать небольшое приложение под соц. сеть "Одноклассники". В данный момент разрабатываю архитектуру и решил обратиться к вам за советами.

Бакенд приложения планирую реализовать на база Spring фреймворка + Spring Boot. API выставлю на базе SpringREST(MVC)

Фронтенд будет написан на HTML5.

Для внутренней аутентификации в приложении планирую использовать JWT на базе Nimbus.

Основная загвоздка сейчас в виду отсутствия предыдущего опыта работы с этой соц сетью в использовании API "Одноклассников".

Вот сижу читаю их доки и возник ряд вопросов:

1. Аутентификация/авторизация пользователей в моем приложении через систему "Одноклассники" будет(должна) происходить по стандартному OAuth2 ?

2. Как приложение эмбедится в "Одноклассники" ? через html iframe или как ?

3. Какие еще нюансы, особенности нужно учесть при подготовке к разработке приложения под эту соц сеть ?

Спасибо.

4. Стоит ли использовать внутренний механизм аутентификации на базе JWT или сразу прокидывать на клиент accessToken выданный Одноклассниками моему приложению для данного юзера ?

Petro123,

По клиентской части приложения у меня вопросов нет. HTML5 был упомянут вскольз так как не является ключевым элементом в моих вопросах. Будет ли там работа с канвасом либо приложение будет написано на AngularJS в данный момент не имеет никакого значения.
Spring это тоже нечто большее чем доступ к БД и по нему у меня тоже вопросов нет.

В данный момент меня наиболее интересует ответ на мой вопрос №4. Стоит ли прятать от клиента(к примеру AngularJS приложение) OAuth2 accessToken выданный сервером авторизации Одноклассников за прослойкой своей собственной секьюрити(к примеру JWT) либо прокидывать его напрямую на клиент с целью подальшего доступа с ним к моим RESTful api ?

Petro123,

Спасибо за ссылку.

Тут как раз вопрос в том, что я не планирую использовать jsp, только RESTfull вебсервисы. Получается что мне OAuth2 сервером Одноклассников необходимо закрыть доступ к RESTfull API моего приложения. И вот здесь вопрос - клиентское приложение(AngularJS) для доступа к моему RESTfull API должно использовать напрямую OAuth2 accessToken выданный Одноклассниками либо же после успешной аутентификации в Одноклассниках и получении от них accessToken моим приложением я должен включить собственную секьюрити, например на базе того же JWT и обмениваться между клиетом и сервером своего приложения уже своим JWT токеном ?

Petro123,

JWT это нечто иное чем альтернатива кукам.

Так же я понял "уровень" твоих ответов, позволь теперь высказаться другим участникам этого форума. Спасибо.

GregTk,

спасибо, мне тоже не нравится идея передавать третей стороне(коей мне кажется является AngularJS приложение) accessToken который фактически необходим только бэкенду.

Alexey TominВ целом- нафиг ОК, пиши для ВК :)

Я с них начать решил, обкатать так сказать двигло. В принципе уже настроил все, другие внешние ouath2 провайдеры теперь можно очень быстро подключать.