我有一个谷歌应用引擎项目,我想让第三方可以使用我的 REST API。就像推特 API。
Twitter 要求发送用户名和密码,以便他们获得授权 - 我可以使用 Google 用户帐户执行此操作吗?
我在本网站的某处读到这不是首选方法,因为他们的凭据已输入第三方应用程序/已通过等。
我不想过于复杂并将它们重定向到谷歌自己的登录名/验证码等。我已经看到了这个的实现 - 对于桌面/电话/小部件,这甚至可能不起作用。
是第三方应用程序调用我的服务的解决方案 - 该应用程序调用我网站上的页面(要求登录 - 我只是添加登录权限)然后用户登录,然后我的应用程序创建一个长 token 然后传递回第三方应用程序,然后将其存储在他们自己的存储库中,并将其作为 token arg 在发布/放置/删除请求中传递。 然后我的 REST 服务检查 token 并对照查找( token |用户 key )对并允许/拒绝方法调用。
我还可以向该应用询问他们的域吗?并存储它。我想我可以读取 REST 服务请求的 url 并检查它们是否匹配等?
这是一个合理的解决方案还是我生活在 90 年代?
最佳答案
OAuth是在考虑到这种情况的情况下创建的。这是您刚才描述的那种身份验证 token 方案的规范,它是 reasonably widespread这些天。
有关余额,请参阅 this recent StackOverflow thread .
关于python - Google App Engine (python) 授权网络服务/第三方客户端,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2130899/