问题标签 [oauth]

我想在我们的基础架构上实现一个新的基于 REST 的API ，而OAuth似乎是要走的路。

对于我们的实现，首先只有服务器到服务器的访问，这将是完全不受限制的。我相信这被称为两条腿授权。

稍后，我们希望允许浏览器使用 API，这将使我们的授权变成三足。

是否有一个很好的起点来实施这一点？我们如何才能完全授权服务器并为每个用户添加受限授权？

OAuth 规范在这些场景中并没有真正的帮助，但我相信这意味着我们需要为服务器到服务器的访问创建一个永不过期的会话，然后为仅限用户的 API 添加具有有限访问权限的正常会话。

我希望找到更多信息的起点，让我知道！

OAuth 适合我吗？我只是在寻找一个经过身份验证的请求系统，并且这种场景中只存在消费者和服务提供者。终端用户不进来玩！

我正在开发一个关于 OAuth 的 Twitter 应用程序，并且我希望能够提供将来发布更新的功能。

基本计划是每小时运行一个脚本并查找需要发布的任何更新，然后验证适当的用户并使用 statuses/update API 调用。

但是，我不知道如何为此使用 OAuth。我显然不想存储他们的用户名和密码——这违背了在第一个实例中使用 OAuth 的目的。

但是，如果这是唯一的选择，那么我怎么能不存储他们密码的明文副本但仍然对他们进行身份验证？

我们目前正在开发一个完全基于 AJAX 的应用程序，它将通过 RESTful API 与服务器交互。我已经考虑了防止针对 API 的 XSRF 攻击的潜在方案。

1. 用户进行身份验证并接收一个会话 cookie，该 cookie 也会随每个请求一起双重提交。

2. 我们在 Javascript 中实现 OAuth 消费者，在用户登录时检索令牌，并使用该令牌签署所有请求。

我倾向于 OAuth 方法，主要是因为我想提供对我们 API 的第 3 方访问，并且我宁愿不必实现两个身份验证方案。

在这种情况下 OAuth 消费者是否有任何理由无法工作？

问题有没有一种简单的方法来实现stackoverflow使用php的登录系统？

很长一段时间以来，我一直在开发网站，并使用典型的 Web 表单用户名/密码和 mysql 数据库来登录系统。

我想拥有它，这样用户就可以使用 google、yahoo、facebook 等登录系统，而不必记住一些长的 openid url（他们应该只需点击 google 并能够使用他们的用户名/密码登录） ）。

我不希望使用服务提供商（例如 RPX）来实现这一点。

我对他们将如何做到这一点有一个想法，但这样做似乎很老套。

我从中看到的问题是 youtube 需要获取 gmail 或 google cookie。

我这样做的方法是从 gmail 域打开另一个框架，该框架读取 gmail cookie 并将此信息转发到 youtube url。然后，此 youtube url 将根据转发的信息进行身份验证。就像我之前说的那样，这样做似乎很老套，而且可能不是他们这样做的方式。

如果有人知道他们是如何做到的或有任何其他方法可以做到这一点，我想听听。

有谁知道使用 twitter API 和 iPhone SDK 2.2.1 或更早版本的 Oauth 身份验证的好例子？

找到了一个示例，但它似乎在https://github.com/kimptoc/MGTwitterEngine-1.0.8-OAuth使用了仅 3.0 的框架

除了实际进行函数调用之外，还有什么方法可以确定 oauth 令牌是否已被撤销？我正在与具有单个函数调用的 Oauth 提供者合作，该函数调用既耗时又花钱。在我的网站上，我希望能够在拨打该电话时确定我的访问令牌是否有效。谢谢

我对所有这些 OAuth bruhaha 有点困惑，因为我能找到的所有示例都是针对 Web 应用程序的，而没有一个是针对桌面应用程序的。

我了解 Web 应用程序的工作流程，但这包括 Web 应用程序和 twitter 之间的一些重定向。

• 如何在桌面应用程序中做到这一点？
• 重定向如何工作？
• 我是否必须包含 Web Browser 对象？
• 有没有办法解决这个问题？
• 谁能指出我的资源而不是完整的解决方案？

谢谢

我希望将最新的 Twitter gem 用于我正在开发的 Rails 应用程序。

但是，执行以下行：

触发以下异常：

我确实使用'config.gem'twitter''在我的environment.rb中配置了gem，并且我已将gem解压缩到我的vendor/gems目录中。我还尝试在我调用它的控制器内扔一个“require 'twitter'”。

我是否遗漏了一些明显的东西，或者这是当前 gem 的问题？

我正在尝试使用 Twitter 的 API 和 OAuth 发送状态更新（新推文）。我正在使用 Shannon Whitley .NET 代码示例http://www.voiceoftech.com/swhitley/?p=681（在 Twitter API 文档中推荐）。我可以使用 OAuth 读取（GET）就好了，但是当我尝试通过 http://twitter.com/statuses/update.xml（使用 POST）发送状态更新时，它返回一个带有以下 XML 的 401：

我发誓我已经将我的应用程序设置为使用读写，Twitter 上的授权页面 (http://twitter.com/oauth/authorize) 甚至说“应用程序 TweeVerbs.com（开发）希望能够访问并在 Twitter 上更新你的数据。”

然而它仍然在说“只读应用程序不能发布”。哇！？

我已经用谷歌搜索了这个错误消息，直到我脸色发青。我发现某处说将查询字符串参数oauth_access_type=write添加到重定向 URL，该 URL 转到我已经完成的 Twitter 授权页面，但它仍然给我一个 401。

如果有帮助，以下是根据 OAuth 工作流程发送回来的数据：

请求授权令牌：

http://twitter.com/oauth/request_token?oauth_consumer_key=tViV8vAt4cqSKbGdPGWT7Q&oauth_nonce=2790042&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1244567068&oauth_version=1.0&oauth_signature=KzxcXN%2bQs8SLjJJJJJJJJJJJJJJ2%2Q%3d

生成的授权重定向 URL：

http://twitter.com/oauth/authorize?oauth_token=EpyBg3nJGOmtmBjRUAsqqaGHARb2F2F2VcccqHkwio&oauth_access_type=write

授权屏幕消息： “应用程序 TweeVerbs.com（开发）希望能够访问和更新您在 Twitter 上的数据。此应用程序计划在将来使用 Twitter 为您登录。如果您想连接到Sironfoot 以外的帐户。”

获取访问令牌：

HTTP：//twitter.com/oauth/access_token oauth_consumer_key = tViV8vAt4cqSKbGdPGWT7Q＆oauth_nonce = 2016804＆oauth_signature_method = HMAC-SHA1＆oauth_timestamp = 1244567166＆组oauth_token = EpyBg3nJGOmtmBjRUAsqqaGHARb2F2F2VcccqHkwio＆oauth_version = 1.0＆oauth_signature =％2bEVQUxUPLT％2B％2bkfaG0Vq1YJZXcAw％3D

状态更新API调用： URL - HTTP：//twitter.com/statuses/update.xml POST数据- oauth_consumer_key = tViV8vAt4cqSKbGdPGWT7Q＆oauth_nonce = 5707692＆oauth_signature_method = HMAC-SHA1＆oauth_timestamp = 1244567268＆组oauth_token = 19130957-nb89DjZhjCAzcbHUa96yRWHqlQFQIJ0AKyXpqnHt1＆oauth_version = 1.0＆状态=的HelloWorld＆oauth_signature = WQA％2bWY0IxveeSJ7G3Ewy3whh1sE％3D