5. Using Inter-App URI Communication for OAuth (Verwendung von Inter-App-URI-Kommunikation für OAuth)
Genauso wie URIs für OAuth 2.0 [RFC6749] im Web verwendet werden, um die Autorisierungsanfrage zu initiieren und die Autorisierungsantwort an die anfragende Website zurückzugeben, können URIs von nativen Apps verwendet werden, um die Autorisierungsanfrage im Browser des Geräts zu initiieren und die Antwort an die anfragende native App zurückzugeben.
Durch die Übernahme derselben Methoden, die im Web für OAuth verwendet werden, werden Vorteile, die im Web-Kontext zu sehen sind, wie die Benutzerfreundlichkeit einer Single-Sign-On-Sitzung und die Sicherheit eines separaten Authentifizierungskontexts, ebenfalls im Kontext nativer Apps gewonnen. Die Wiederverwendung desselben Ansatzes reduziert auch die Implementierungskomplexität und erhöht die Interoperabilität durch Verwendung standardbasierter Web-Flows, die nicht plattformspezifisch sind.
Um dieser Best Practice zu entsprechen, müssen (MUST) native Apps einen externen User-Agent verwenden, um OAuth-Autorisierungsanfragen durchzuführen. Dies wird erreicht, indem die Autorisierungsanfrage im Browser geöffnet wird (detailliert in Abschnitt 6) und ein Redirect-URI verwendet wird, der die Autorisierungsantwort an die native App zurückgibt (definiert in Abschnitt 7).