我观看了一些关于使用oauth进行身份验证的视频,并且已经获得了身份验证部分,但我有以下问题。
Q1 - 访问令牌是否过期?
Q2 - 一旦Twitter访问令牌过期,我是否必须让用户完成整个用户身份验证过程(用户再次对应用进行身份验证)?
Q3 - 一旦我们拥有访问令牌,就可以离线访问用户的内容
好的,只是为了给出一些更多的背景,这就是我的情景。基本上我们的移动应用程序正在寻求与twitter集成,并且有一个服务器端需要咀嚼用户的Twitter提要。这就是我们考虑做到这一点的方式。一旦用户使用移动平台验证我们的应用程序,我们希望将此用户访问令牌存储在我们的服务器中,定期轮询他的订阅源并对其订阅源进行一些数据咀嚼。为此,我们需要
- 访问用户数据 - 如果前一个访问令牌优先在服务器端到期,则无需用户干预即可获取新访问令牌。
我们不希望再次通过用户验证我们的应用。
答案 0 :(得分:15)
OAuth 2规范的编写方式是过期的访问令牌是受支持的用例。例如,在http://tools.ietf.org/html/rfc6749中搜索“过期”。
那就是Twitter OAuth FAQ州:
我们目前不会过期访问令牌。如果用户明确拒绝其设置中的应用程序或Twitter管理员暂停您的应用程序,则您的访问令牌将无效。如果您的申请被暂停,您的申请页面上会有一条说明已被暂停的说明。
澄清一下,Twitter对OAuth的使用比Facebook或Google更为基础。有关详情和进一步的帮助,Google是您的朋友。 ; - )