我目前正在创建一个API(谁不是)但是当我在寻找一种方式来使用oAuth时,Facebook和Twitter会对用户进行身份验证以获取数据,我发现这是一种获取用户权限的方法我不需要,我实现oAuth的想法是对开发人员进行身份验证,这样当他们进行API调用时,服务器就会知道他们是谁以及为他们提供什么服务。我没有尝试任何oAuth代码,因为我还没有发现到目前为止有用的节点模块,但我可以给出背景信息。我正在使用:
我没有明确地想要使用oAuth,我只是认为这是一个好主意,我对任何其他做事方式持开放态度。
答案 0 :(得分:1)
我认为您应该阅读OAuth specification并确定其中一个拨款流程是否符合您的要求。当用户(开发人员)登录时,您向他/她授予访问令牌。现在,当用户向API发出请求时,访问令牌必须位于HTTP请求标头上,从请求中提取后端服务上的访问令牌,您可以识别用户。
当用户注册到您的服务时,由您向用户存储的数据信息取决于您。但是所有这些信息都可以使用用户在成功登录后获得的访问令牌进行映射,也可以存储在访问令牌中。