我可以使用 OAuth 提供者提供的请求令牌并永远使用它吗?我希望构建一个与 Delicious api 交互的服务,并每两周查找更新的书签。我只是想知道我是否可以使用相同的请求令牌而不是要求用户一次又一次地进行身份验证。如果我不能,这就是我猜的答案,那么这种行动的最佳实践是什么?
我最后的选择是期望用户放弃他们美味的用户名和密码给我,在这种情况下,我的工作变得非常容易。
问问题
903 次
2 回答
0
这是特定于实现的 - 您必须查看 Delicious 文档对令牌的说明。它可能会过期,用途有限,或在使用时有副作用。
大多数 OAuth 实现可能会在某个时候使他们的令牌过期,以减少他们必须跟踪的有效令牌的数量。
一般来说,用户代理帮助应该减少 SSO 身份验证系统的问题——当用户出现时没有有效的令牌,浏览器会被重定向到身份验证器,它会查看浏览器上存储的凭据(通常是 cookie)和使用新令牌将用户重定向回来,无需任何用户交互。这对于 OAuth 来说可能比 OpenID 更复杂,因为如果它不仅仅进行身份验证,则可能不适合发布新令牌。而且由于身份验证/授权过程是特定于实现的,因此您需要能够输入新的凭据,除非您知道令牌是有效的。
于 2009-12-09T20:02:08.963 回答
0
可能不会直接回答您的问题,twitter oAuth 允许拥有永久请求令牌。
于 2010-10-07T01:39:47.600 回答