我可以使用OAuth提供商提供的请求令牌并永久使用它吗?我希望建立一个与Delicious api交互的服务,每两周寻找更新的书签。我只是想知道我是否可以使用相同的请求令牌而不是要求用户一次又一次地进行身份验证。如果我不能,这就是我猜的答案,那么这种行动的最佳做法是什么?
我的最后一个选择是期望用户放弃他们美味的用户名和密码给我,在这种情况下,我的工作变得非常容易。
答案 0 :(得分:0)
这是特定于实现的 - 您必须查看Delicious文档对令牌的说法。它可能会过期,使用受限或使用时会产生副作用。
大多数OAuth实现可能会在某些时候使其令牌过期,以减少他们必须跟踪的有效令牌数量。
通常,用户代理帮助应该减少SSO身份验证系统的问题 - 当用户显示没有有效令牌时,浏览器会重定向到身份验证器,该身份验证器会查看浏览器上存储的凭据(通常cookie)并使用新令牌重定向用户,无需任何用户交互。对于OAuth而言,这可能比OpenID更复杂,因为如果新令牌不仅仅是进行身份验证,则可能不适合发布新令牌。由于身份验证/授权过程是特定于实现的,因此除非您知道令牌有效,否则您需要能够输入新凭据。
答案 1 :(得分:0)
可能没有直接回答你的问题,twitter oAuth允许永久请求令牌。