Wenn man OAuth macht, dann bitte, um Himmels willen, haltet Euch auch an die OAuth-Spezifikation.
Und die sagt ganz klar: Nutzt den jeweils vom Benutzer eingestellten Default-Browser des Systems für die Auth.
Browser ist in der Spec
https://datatracker.ietf.org/doc/html/rfc8252 sogardefiniert als:
Zitat:
"browser" The default application launched by the operating system to
handle "http" and "https" scheme
URI content.
Ganz konkret steht hinten
https://datatracker.ietf.org/doc/htm...2#section-8.12:
Zitat:
This best current practice requires that native apps MUST NOT use embedded user-agents to perform authorization requests and allows that authorization endpoints MAY take steps to detect and block authorization requests in embedded user-agents.
Oder auch nochmal hier zusammengefasst:
https://www.oauth.com/oauth2-servers...ystem-browser/ (auch von 2017).
Zitat:
Authorization servers should enforce this behavior by attempting to detect whether the authorization
URL was launched inside an embedded web view and reject the request if so.
Alles andere ist Quark und vor allem wirklich gefährlich: Die Jungs und Mädels die da an der Spezifikation arbeiten schreiben sowas nicht da rein um uns Entwickler zu ärgern, sondern weil sie von vielen Angriffsmöglichkeiten wissen die sonst möglich sind und vor denen sie uns damit schützen wollen.