我发现了一篇关于开始使用 Twitter API 对用户进行身份验证的好文章。
我看到在普通的 Web 应用程序中,您会将用户名和 OAuth 令牌/秘密写入数据库。我的困惑只是源于你从那时起如何处理用户。您是否每次都将它们发送到 twitter 以在登录后验证并存储这些以供在会话变量中使用?或者这更像是“将 twitter 与您的帐户相关联”而不是“通过 twitter 登录我们的网站”?
最后,我相信我在其他地方读到过 OAuth 用户令牌和密码不会过期(或至少是持久的)。那不会允许创建可以作为用户发推文的流氓应用程序吗?当然,我无意这样做,但似乎确实如此。
我想您可以将其称为“将 Twitter 与您在此网站上的身份相关联”。一旦有人通过 Twitter 登录验证了自己的身份,您就可以继续使用他们存储的令牌来读取和更新他们的帐户。您不应该要求他们在每次访问时都通过 Twitter 继续登录。这很烦人。当他们访问您的网站时,您将使用 cookie 告诉您他们是谁,这样您就可以获得他们存储的令牌。
是的,这确实允许应用程序以用户身份发推文,但是当他们这样做时,推文底部的来源会显示哪个应用程序发出了推文。如果用户不批准,他们可以删除推文并取消他们对该应用程序访问其帐户的批准。他们在 Twitter.com 上的 Twitter 个人资料设置中执行此操作。这是一个比为应用程序提供用户名和密码的旧方法更好的模型。然后唯一的选择是更改您的密码,这将使您的所有应用程序无效。