我观看了一些有关使用oauth进行身份验证的视频,并且获得了身份验证部分,但是我有以下问题。
Q1 -访问 token 是否过期?
Q2 -Twitter访问 token 到期后,我是否必须让用户经历整个用户身份验证过程(用户再次对应用进行身份验证)?
Q3 -一旦获得访问 token ,就可以离线访问用户的内容
好的,所以仅提供一些背景信息,这就是我所遇到的情况。基本上,我们的移动应用程序希望与Twitter集成,并且它的服务器端需要查询用户的Twitter提要。这就是我们正在考虑的方式。一旦用户使用移动平台对我们的应用进行身份验证,我们便希望将此用户访问 token 存储在我们的服务器中,定期轮询其提要,并对提要进行一些数据处理。为此,我们需要
-离线访问用户数据
-如果前一个在服务器端过期,则无需用户干预即可获取新的访问 token 。
我们不想让用户再次对我们的应用程序进行身份验证。
最佳答案
OAuth 2规范的编写方式是支持过期的访问 token 。例如,在http://tools.ietf.org/html/rfc6749中搜索“expire”。
就是说,Twitter OAuth FAQ指出:
We do not currently expire access tokens. Your access token will be invalid if a user explicitly rejects your application from their settings or if a Twitter admin suspends your application. If your application is suspended there will be a note on your application page saying that it has been suspended.
需要澄清的是,Twitter使用OAuth比Facebook或Google更为基本。有关详细信息和更多帮助,Google是您的 friend 。 ;-)
关于Twitter oauth刷新 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14194337/