oAuth实施:当前域是否重要?

时间:2012-05-01 18:59:52

标签: oauth

我是一名前端开发人员,帮助UX团队开发浏览器插件的界面。

该插件基于HTML / CSS / JS,需要身份验证。目前我们在电汇中有标准的u / p字段,但客户想知道社交登录是否可行。

由于插件的界面被注入用户访问的每个页面,这意味着身份验证请求可以来自网络上的任何位置。

我已经阅读了oAuth规范的基础知识,但我无法找到答案 - oAuth似乎不会要求来自一致位置的请求,但我真的不知道我是什么我在谈论。

是否可以从任何随机域提出oAuth请求?

1 个答案:

答案 0 :(得分:3)

  

请求来自一致的位置

一个能够提出与X的消费者密钥一致的令牌的人被假定为X. one place要求消费者(您的服务)URL:

  

<强> oauth_callback:       获取用户授权步骤完成后,服务提供商将用户重定向到的绝对URL。如果   消费者无法接收回调或回调URL   通过其他方式建立,参数值必须设置为oob   (区分大小写),表示带外配置。

但重定向发生在客户端。可以为每个请求设置此网址。您甚至不需要浏览器请求:请参阅'带外'(OOB)内容。

工作流程称为两条腿OAuth。

Twitter oAuth callbackUrl - localhost development


这个问题仅适用于身份验证。一旦您拥有用户的访问令牌,您就可以代表他从任何设备:智能手机,群集中的节点,开发工作站等。 X