<div dir="ltr">On Wed, Jan 7, 2015 at 9:29 AM, Christopher Karlof <span dir="ltr"><<a href="mailto:ckarlof@mozilla.com" target="_blank">ckarlof@mozilla.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>We support an implicit grant flow, but it requires being able to create BrowserID assertions (which requires an FxA auth server session token, which requires the user’s FxA password at some point). The use case we’re currently targeting with implicit grants is when the user has logged in to one of our user agents (Firefox Desktop, Fennec, FxOS, etc) and needs to access FxA attached APIs (e.g., reading list, profile data, etc.). We’re not so much focused on supporting general server-less apps yet, particularly third-party ones. What use case are you trying to address?</div><div><br></div><div>FYI, Here’s the API endpoint in the OAuth server to use implicit grants: <a href="https://github.com/mozilla/fxa-oauth-server/blob/master/docs/api.md#post-v1authorization" target="_blank">https://github.com/mozilla/fxa-oauth-server/blob/master/docs/api.md#post-v1authorization</a></div></div></blockquote><div><br></div><div>Here's some WIP Java (Fennec) code that hits said endpoints, uses the implicit grants, and queries the profile service [1].  I'm polishing it and landing it in the next few weeks.  I'm posting this more for a future consumer than Tarek specifically.<br><br>Nick<br><br>[1] <a href="https://github.com/mozilla-services/android-sync/tree/nalexander/bug-1055264-oauth-and-profile-clients/">https://github.com/mozilla-services/android-sync/tree/nalexander/bug-1055264-oauth-and-profile-clients/</a><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>-chris</div><div><br></div><div>P.S. Always cc a list with these kinds of questions, please!<br></div><div><br></div>+dev-fxacct<div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 7, 2015 at 2:45 AM, Tarek Ziade <span dir="ltr"><<a href="mailto:tarek@mozilla.com" target="_blank">tarek@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hey<br><br>I am wondering what's the flow to use for full client-side apps that can't safely keep a client_secret<br><br></div>It's called "implicit grant" in OAuth2<br><div><br><a href="http://tools.ietf.org/html/rfc6749#section-2.1" target="_blank">http://tools.ietf.org/html/rfc6749#section-2.1</a><br><br></div><div>But I am not sure what's the exact thing to do with FxA<br><br></div><div>Thanks!<span><font color="#888888"><br></font></span></div><span><font color="#888888"><div>Tarek<br></div></font></span></div>
</blockquote></div><br></div>
<br>_______________________________________________<br>
Dev-fxacct mailing list<br>
<a href="mailto:Dev-fxacct@mozilla.org">Dev-fxacct@mozilla.org</a><br>
<a href="https://mail.mozilla.org/listinfo/dev-fxacct" target="_blank">https://mail.mozilla.org/listinfo/dev-fxacct</a><br>
<br></blockquote></div><br></div></div>