OAuth自动同意受信任的用户密钥

时间:2011-06-09 15:53:42

标签: oauth

我正在编写一个Web应用程序“B”,它通过REST API与另一个我编写和控制的Web应用程序“A”进行交互。 我希望登录到A的用户能够在B上执行使用API​​与A通信的操作。我最好的选项看起来像OAuth,但我希望体验是无缝的,OAuth要求用户在授予访问令牌之前获得同意。

  1. OAuth是解决这种情况的好方法吗?还有更好的选择吗?
  2. 如果我确实使用OAuth,我可以通过信任消费者密钥预先授权同意吗?

3 个答案:

答案 0 :(得分:1)

您可以执行XAu​​th,这是OAuth的扩展。它使用相同的请求/访问令牌和秘密原则,但允许您为访问令牌交换用户名/密码组合。

我们使用它:

  1. 用户登录我们的iPhone应用
  2. iPhone会创建OAuth请求令牌请求,并通过HTTPS发送用户名+密码
  3. 验证请求(机密等,+用户名/密码),生成请求令牌以及访问令牌的交换请求令牌。 (此步骤完全在服务器上,因此服务器进行交换)。
  4. 访问令牌将返回给用户
  5. iPhone应用使用普通的OAuth协议+访问令牌与服务器进行通信

    6. Twitter正在为不允许轻松OAuth身份验证页面的应用程序执行此操作。

答案 1 :(得分:0)

Eran Hammer-Lahav says

  

用户应该控制他们的   资源,但如果这只是一个案例   一个提供商的数量超过多个   域名,我认为跳过没有坏处   授予访问客户端的权限   基本上由同一实体拥有。

答案 2 :(得分:0)

查看oauth2客户端凭据流。

相关问题
最新问题