我发现了一篇关于开始使用 Twitter API 对用户进行身份验证的好文章。
我看到在普通的 Web 应用程序中,您会将用户名和 OAuth 令牌/秘密写入数据库。我的困惑只是源于你从那时起如何处理用户。您是否每次都将它们发送到 twitter 以在登录后验证并存储这些以供在会话变量中使用?或者这更像是“将 twitter 与您的帐户相关联”而不是“通过 twitter 登录我们的网站”?
最后,我相信我在其他地方读到过 OAuth 用户令牌和密码不会过期(或至少是持久的)。那不会允许创建可以作为用户发推文的流氓应用程序吗?当然,我无意这样做,但似乎确实如此。