2

我一直在尝试使用 Oauth 创建一个 RESTFul API,用于 2 腿和 3 腿身份验证场景。我已经阅读了很多文章,现在我很困惑。现在查看各种 API 实现以获得更好的理解。

在浏览 facebook api 服务消费实现时;获得访问令牌后。我注意到资源请求的以下 url 结构

https://graph.facebook.com/me?access_token= {access_token}

我在想消费者的 app_key 和 secret_key 也将作为参数传递。

我正在想象一个场景,其中“offline_access”是权限范围的一部分。如果此访问令牌由另一个应用程序传递怎么办。facebook 如何验证它是正确的消费者?

谢谢你。

4

1 回答 1

2

OAuth 2 规范定义每个消费者的每个用户的访问令牌应该是唯一的。这仅仅意味着每个消费者都会获得一个新的访问令牌。如果消费者 1 拥有消费者 2 的访问令牌,API 会认为消费者 2 正在发出请求。就那么简单。

当然,这需要对访问令牌进行适当的安全保护。它们的安全方式几乎超出了 OAuth 的范围,尽管它确实定义了它们只能通过 SSL 连接传递。

不要看文章。阅读实际规格。

于 2012-02-23T13:44:42.193 回答