我需要知道如何使用 OAuth 1.0a 处理受保护的资源。我已经阅读了官方文档并看到了一些实现,但有些地方我需要澄清。
1)此时,消费者拥有链接到用户的已批准访问令牌,并且提供者服务器对其进行验证。
- 如果访问令牌无效会怎样?
- Provider 服务器会发出什么样的状态码?
- 如果发生这种情况,消费者服务器是否应该将用户重定向到他可以授权另一个令牌的屏幕?
2)如果Access Token验证正确,Consumer和Provider会交换信息。例如,消费者会询问用户的电子邮件地址,而提供商会提供。
- 应该使用什么协议来交换这些信息?(杰森?)
- 这些信息应该放在响应的正文中还是放在其他地方?
3) 按照标准,访问令牌和提供的受保护信息应由消费者服务器持久保存。
谢谢