我有一个客户请求在其网站上使用 oauth,以便用户可以使用他们的 facebook 或 google 凭据进行身份验证。我想知道在此过程中哪些信息是持久的,以便我可以将它们链接到我的数据库中的帐户记录。
我的第一直觉是使用最终 token (用于实际从任何站点请求信息的 token ),但根据我的理解,这些 token 可能会过期,从而破坏我的链接。如果 token 过期,我如何识别谁是谁?
如果您仍然不确定我的意思,请以 stackoverflow 为例。我使用我的 google 凭据登录 stackoverflow。 stackoverflow 如何将我的 oauth 登录名与我的帐户信息关联起来?有些事情必须坚持下去。
我觉得我错过了一些明显的东西,但由于某种原因我无法将这些点联系起来。很可能是由于我对 oauth 的无知。
任何见解将不胜感激。
编辑:我刚刚意识到 stackoverflow 使用 openID。我是不是找错了树?这可以通过 oAuth 来完成吗?
最佳答案
这取决于您想要实现的目标。如果客户希望能够从其网站操纵 Facebook 上的用户数据,那么 OAuth 之类的东西将是必要的。
如果客户只是想让他们的用户不需要创建另一个用户名和密码,那么 OpenID 可能是最佳选择。
如果您使用 OAuth,当 token 过期时,您必须再次执行登录过程并请求另一个 token 。超时是一项很有值(value)的安全功能。
关于OAUTH 认证和数据关联,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9711180/