我正在开发一个使用 xAuth 登录 Twitter 的 iPhone 应用程序。该应用程序还与我自己的 Web 服务进行通信。我不想在 Web 服务中维护用户模型,而是只允许已经通过 Twitter 进行身份验证的任何人发出请求。
高级用例是这样的:用户通过应用程序登录 Twitter 并与之交互。他们还可以通过该应用程序与我的网络服务进行交互。Web 服务本身从不与 Twitter 交互。我不想在我这边维护一个单独的身份验证系统,我希望服务器说“好的,如果 Twitter 说你是 @joshfrench,那么你可以访问。”
不过,我不确定我应该如何验证服务器端的请求。我如何将一些身份验证证明从移动客户端传递到我的 Web 服务?我可以发送现有的 Twitter 令牌并从服务器验证它吗?或者以某种方式使用我的 Twitter 应用程序的凭据签署请求?这甚至是对 OAuth 的有效使用吗?