我一直在尝试使用 Oauth 为 2 足和 3 足身份验证场景创建 RESTFul API。我读了很多文章,现在我很困惑。现在查看各种 API 实现以获得更好的理解。
在查看 facebook api 服务消费实现时;获得访问 token 后。我注意到资源请求的以下 url 结构
https://graph.facebook.com/me?access_token= {访问 token }
我想消费者的app_key和secret_key也将作为参数传递。
我正在想象一个场景,其中“offline_access”是权限范围的一部分。如果此访问 token 由另一个应用程序传递怎么办? Facebook 如何验证自己是正确的消费者?
谢谢。
最佳答案
OAuth 2 规范定义每个消费者的每个用户的访问 token 应该是唯一的。这仅仅意味着每个消费者都会获得一个新的访问 token 。如果消费者 1 拥有消费者 2 的访问 token ,则 API 会认为消费者 2 正在发出请求。就这么简单。
当然,这需要访问 token 具有适当的安全性。它们的保护方式几乎超出了 OAuth 的范围,尽管它确实定义它们只能通过 SSL 连接传递。
关于facebook - Facebook 如何将访问 token 与消费应用程序相匹配,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9414228/