我正在实现一个 OAuth 2 提供程序,并且想知道在客户向我的提供程序注册应用程序时是否有必要为他们生成 API 密钥和客户端 ID。
从 Google 和 Twitter 等 OAuth 1.0a 提供商来看,他们只有一个用于客户端的密钥,但 Facebook (OAuth 2) 同时具有 API 密钥和应用程序 ID,但在 OAuth 中使用应用程序 ID 作为“client_id”参数2 舞蹈。
我很确定 OAuth 1.0a 和 OAuth 2 规范都没有为客户端指定多个密钥。
我不确定提供商需要在什么情况下为客户端应用程序生成两者。