关于 Oracle Mobile Hub 应用程序的验证策略

在 Oracle Mobile Hub 中，所有资源都受到保护，并且只能由有权访问这些资源的已验证用户访问。您可以在移动后端中启用一个或多个验证方法，然后编写应用程序代码以使用这些方法之一。

为了与其他 Oracle Cloud SaaS 服务进行验证，最重要的可用验证方法为企业单点登录 (SSO) 和 OAuth 使用者。在决定如何设置验证时，您还应考虑保护跨源资源共享 (CORS) 以访问 Oracle Mobile Hub API。

关于 Oracle Mobile Hub 中的企业单点登录

如果要使用其他 Oracle Cloud 服务作为身份提供者来验证应用程序的用户，您可以启用 Oracle Cloud 的单点登录 (SSO) 功能来与该身份提供者连接，然后配置移动后端以使用它。如果您要为公司的员工推出应用程序，并且希望他们能够使用现有的 Oracle Cloud 或公司员工登录凭据登录到应用程序，则这特别有用。

您可以在 Oracle Mobile Hub 中设置企业 SSO 以采用以下任一方式工作：

• 通过 Oracle Mobile Hub 提供基于浏览器的 SSO 。该应用程序在浏览器中打开 Oracle Mobile Hub SSO URL，并在一系列重定向后显示远程身份提供者的登录屏幕。用户成功输入凭据后，用户将收到一个 OAuth 令牌，该令牌作为承载令牌包含在后续的 Oracle Mobile Hub API 调用中。
• 第三方 SAML 和 JWT 标记。应用程序从可信的第三方发布者获取令牌，对 Oracle Mobile Hub 令牌交换端点进行 API 调用，并接收发出的令牌，在后续的 Oracle Mobile Hub API 调用中，该令牌将作为记载令牌包含。

关于 Oracle Mobile Hub 中的 OAuth 使用者身份验证

对于 Oracle Mobile Hub 中的每个定制 API，您可以决定是否需要验证。这将确定使用哪个 OAuth 流。对于已验证的访问，请使用资源所有者密码身份证明授权。对于未经验证的访问，请使用 "Client Credentials Grant"（客户端身份证明授权）。

OAuth 2.0 显式设计时考虑了 REST。它支持访问 REST API 的各种不同客户端类型，包括移动应用。只有在移动应用提供有效的 OAuth 访问令牌后，受保护 API 才可用。

通过 OAuth 的 Oracle Mobile Hub 实施，Oracle Mobile Hub 可以管理权限并授予应用程序对服务的访问权限，而无需为每个单独的服务单独登录。将为每个移动后端发出身份证明。注册到移动后端的每个移动应用程序都使用这些身份证明使用该移动后端关联的任何 API 进行验证。

移动应用必须先在 Oracle Mobile Hub OAuth 服务器上注册，然后才能访问 Oracle Mobile Hub API。注册通常是一次性任务，可以在创建移动后端时完成。注册后，注册将保持有效，除非被撤销。