我想做与这里描述的相反的事情:我可以在客户端使用 oauth 令牌吗?
我正在构建一个对超链接执行 Facebook Graph API 查找的服务。碰巧 Facebook Graph API 总是需要 OAuth 令牌来查找任何内容。
让客户将他们的 OAuth 令牌传递给我的服务有什么问题,以便我可以代表他们点击 Facebook Graph API?(为此,我与客户端的连接将通过 HTTPS。)
问问题
474 次
1 回答
2
Google 不建议这样做,但这里描述了混合方法。
要利用 Google+ 登录的所有优势,您必须使用混合服务器端流程,其中用户使用 JavaScript API 客户端在客户端授权您的应用,然后您将特殊的一次性授权代码发送到您的服务器. 您的服务器交换此一次性使用代码以从 Google 获取其自己的访问和刷新令牌,以便服务器能够进行自己的 API 调用,这可以在用户离线时完成。与纯服务器端流程和向您的服务器发送访问令牌相比,这种一次性代码流具有安全优势。
于 2014-11-24T14:36:10.787 回答