Есть OIDC авторизация. Для авторизации на незащищенном от reverse-engineering клиенте используется расширение PKCE, чтобы можно было использовать авторизацию без секретного ключа, выдаваемого провайдером - поскольку клиент не может обеспечить защиту этого ключа. Но при этом все OIDC провайдеры для android клиентов требуют указать package name и SHA-1 или SHA-256 certificate fingerprint (аналогично для других несерверных клиентов - iOS, Windows). Но как эта информация используется для авторизации. Для нативных клиентов OIDC провайдеры поставляют свои библиотеки, которые надо использовать, но описания что именно в ней происходит, какой flow используется, какие параметры и какой callback URL нет. Я гуглил, но что-то тоже ничего про это не нашел. Может быть кто-нибудь знает.
Я подумал может быть OIDC провайдер использует redirect URL, который должен быть обработан моим приложением как Android App Link. И тогда бы для каждого клиента бы добавлялась запись в /.well-known/assetlinks.json -
https://developer.android.com/training/app-links/v.... Но вроде нет, не добавляется.
Так как же все-таки это работает, не просто же так спрашивают.
Это может пригодиться если, например, ты пишешь свою реализацию OIDC сервера.