我是一名前端开发人员,帮助 UX 团队开发浏览器插件的界面。
该插件基于 HTML/CSS/JS,需要身份验证。目前我们在线路中有标准的 u/p 字段,但客户想知道是否可以进行社交登录。
由于插件的接口被注入到用户访问的每个页面中,这意味着身份验证请求可以来自网络上的任何地方。
我已经阅读了 oAuth 规范的基础知识,但我找不到答案——oAuth 不需要来自一致位置的请求似乎很奇怪,但我真的不知道我在说什么关于。
从任何随机域发出 oAuth 请求是否可行?
问问题
3879 次
1 回答
3
请求来自一致的位置
可以提出与 X 的消费者密钥一致的令牌的人被假定为 X。有一个地方可以要求消费者(您的服务)的 URL:
oauth_callback: 当获取用户授权步骤完成时,服务提供者将用户重定向回的绝对 URL。如果 Consumer 无法接收回调或通过其他方式建立了回调 URL,则参数值必须设置为 oob(区分大小写),以指示带外配置。
但是重定向发生在客户端。可以为每个请求设置此 URL。您甚至不需要浏览器请求:查看“带外”(OOB)内容。
该工作流称为两足 OAuth。
Twitter oAuth callbackUrl - 本地主机开发
而那个麻烦只是为了认证。一旦您获得了用户的访问令牌,您就可以在任何设备上代表他行事:智能手机、集群中的节点、开发工作站等。 x
于 2012-05-02T09:16:00.583 回答