目标是让用户通过Twitter登录,获取OAuth令牌和秘密(通过反向身份验证)并将其传递给服务器。然后,服务器将使用Twitter验证令牌有效性,并创建一个新用户以及应用程序将用于来回进行身份验证通信的自己的令牌。
我正在努力解决这一问题 - 以安全的方式传递初始数据。
答案 0 :(得分:0)
以下列方式结束解决初始登录身份验证:
从现在开始的每个API请求都使用在请求时生成的用户秘密哈希和随机盐进行签名。 用户令牌,签名和 salt 与每个API请求一起传递(通过标头)。
相同的逻辑用于Socket连接握手授权。