Delphi-PRAXiS - Edge Browser

Zitat:

Zitat von Der schöne Günther (Beitrag 1492944)

Google sagt doch ganz klar dass davon auch bald die allerletzten Reste abgeschaltet werden und man es bitte anders machen soll:

https://developers.googleblog.com/20...-endpoint.html

:thumb:

Wenn man OAuth macht, dann bitte, um Himmels willen, haltet Euch auch an die OAuth-Spezifikation.

Und die sagt ganz klar: Nutzt den jeweils vom Benutzer eingestellten Default-Browser des Systems für die Auth.
Browser ist in der Spec

https://datatracker.ietf.org/doc/html/rfc8252 sogardefiniert als:

Zitat:

"browser" The default application launched by the operating system to handle "http" and "https" scheme URI content.

Ganz konkret steht hinten

https://datatracker.ietf.org/doc/htm...2#section-8.12:

Zitat:

This best current practice requires that native apps MUST NOT use embedded user-agents to perform authorization requests and allows that authorization endpoints MAY take steps to detect and block authorization requests in embedded user-agents.

Oder auch nochmal hier zusammengefasst:

https://www.oauth.com/oauth2-servers...ystem-browser/ (auch von 2017).

Zitat:

Authorization servers should enforce this behavior by attempting to detect whether the authorization URL was launched inside an embedded web view and reject the request if so.

Alles andere ist Quark und vor allem wirklich gefährlich: Die Jungs und Mädels die da an der Spezifikation arbeiten schreiben sowas nicht da rein um uns Entwickler zu ärgern, sondern weil sie von vielen Angriffsmöglichkeiten wissen die sonst möglich sind und vor denen sie uns damit schützen wollen.