2

我是 oauth 2.0 的新手并正在阅读它。我尝试将 oauth 2.0 用于具有 37signals 站点的应用程序,但遇到了问题。现在确定它是否符合设计。任何这里都是我所看到的。

  1. 用户已登录 37signals 网站。
  2. 我的应用程序通过将他重定向到 37signals 站点来启动 oauth 流程
  3. 将出现一个授权页面,询问用户是否可以授予对我的应用程序的访问权限。
  4. 用户批准并返回到我的应用程序。(也可以使用访问令牌)
  5. 现在,用户退出 37signals 站点。
  6. 用户尝试使用我的应用程序。我的应用程序通过将他重定向到 37signals 站点来启动 oauth 流程。
  7. 用户使用登录屏幕登录。
  8. 再次向他显示授权页面。自从用户第一次批准后,不应该跳过它吗?或者这是设计好的?

无论如何,这对我来说似乎不是很用户友好,即每次注销后都显示批准页面。

我也注意到 twitter 的类似行为。我最初在使用 nodejs oauth 库时发布了一个类似的问题。然后我认为这是一个一般的 oauth 2.0 问题。 everyauth 总是触发授权

4

1 回答 1

0

在初始身份验证时,身份验证提供程序(在本例中为 37Signals)将提供身份验证令牌。与您的应用程序密钥一起,您可以在初始身份验证之后使用用户令牌随后对其进行身份验证。OAuth 提供者通常会随着时间的推移使身份验证令牌过期,在这种情况下,您需要让您的用户重新进行身份验证。

于 2012-09-03T04:18:59.210 回答