Hallo,

danke für den Erklärungsversuch. Nur ist das noch so Neuland für mich, dass ich doch nochmal nachfragen muss.

Beiuspiel: ein Server der bestimmte Webservices anbietet und den ich nicht unter meiner Kontrolle habe
(beispielsweise GitHub) erfordert für die API Benutzung Authentifizierung und kann das per OAuth 2.0.

Wenn ich eine VCL/FMX App schreiben wollte die diese APIs nutzt, müsste ich irgendwelche Anmeldeinformationen
(z.B. Benutzername/Passwort) an den Server schicken (wie? definiert OAuth das?) und würde wenn ich's richtig
verstanden habe ein Token bekommen, welches für einen begrenzten Zeitraum gültig ist. Richtig?

Vermutlich ist im Token vermerkt bis wann bzw. wie lange es gültig ist.

Dieses Token muss ich bei den entsprechenden Aufrufen mitschicken, sonst sagt der angefragte Server nur:
"keine Berechtigung". Richtig?

Und ich könnte aufpassen wann das Token abläuft um mit den gemerkten Logindaten rechtzeitig ein neues
anzufordern. Richtig?

Token und Logindaten würde ich vorzugsweise im Speicher der Anwendung halten, da andere Anwendungen dann
schwerer dran kommen als an eine Datei. Richtig?

Oder wozu bräuchte ich dann noch einen Server unter meiner Kontrolle?

Grüße und Danke für's Erklären

TurboMagick