Необходимо сделать два способа регистрации/авторизации для мобильного приложения:
1) Email + пароль
2) VK API
С первым пунктом все ясно: при регистрации пользователь указывает почту+пароль, которые сохраняются на сервере. При каждой новой авторизации(допустим пользователь разлогинился и заходит снова) сервер генерирует ключ, который отсылает пользователю, все последующие запросы к API сервера подписываются этим ключом, благодаря чему сервер знает что все хорошо.
Не совсем ясно как проделать данные действия используя VK API. Исходя из политики vk, никто кроме пользователя не должен знать пароль. Тогда вопрос: каким образом выполнять повторную авторизацию пользователя? Допустим, что я сохраню токен на сервере(и даже предположим, что у него нет срока истечения) и по нему буду проверять все запросы от пользователя. Однако что делать, если пользователь его потеряет(не важно как) и при повторной авторизации, VK API вышлет ему другой токен? Как серверу идентифицировать пользователя в этом случае? Я могу хранить на сервере контактовский id ползователя или его почту и по ним определять кто есть кто, но что использовать в качестве общего секрета?
Оказывается, можно отправить такой запрос https://api.vk.com/method/users.get?access_token=TOKEN
Он вернет uid пользователя привязанного к этому токену. Таким образом сервер может сравнить этот uid с id отправителя и авторизовать его
