我一直在尝试使用 Oauth 创建一个 RESTFul API,用于 2 腿和 3 腿身份验证场景。我已经阅读了很多文章,现在我很困惑。现在查看各种 API 实现以获得更好的理解。
在浏览 facebook api 服务消费实现时;获得访问令牌后。我注意到资源请求的以下 url 结构
https://graph.facebook.com/me?access_token= {access_token}
我在想消费者的 app_key 和 secret_key 也将作为参数传递。
我正在想象一个场景,其中“offline_access”是权限范围的一部分。如果此访问令牌由另一个应用程序传递怎么办。facebook 如何验证它是正确的消费者?
谢谢你。