asp.net-mvc – 针对移动应用的REST API的OAuth

我对移动应用程序没有多少经验,这更像是一个设计问题：两个场景中的哪一个(或者可能是第三个？)似乎更好地设计了谁应该负责facebook身份验证：

>移动客户端负责.没有访问后端,它直接与Facebook说话,允许用户输入他的凭证,当它从Facebook获得令牌时,它首次点击后端,在每个请求中将令牌传递给它.
>后端API负责.移动客户端尝试从中访问资源.后端没有从客户端获取身份验证令牌,因此它重定向到Facebook登录.用户输入凭据并且facebook回复传递令牌的后端.然后,后端愿意回答客户关于所需资源的响应.

当然,第二种情况意味着后端应该使用像DotNetOpenAuth这样的软件包来处理OAuth,而在第一种情况下,这些都发生在移动客户端.