我正在为Google Contact Data API使用双腿OAuth,并在每个请求中生成令牌。
是否可取或我是否应该存储令牌以便下次重复使用?
另外,如何检测过时令牌?
我正在使用python。 (和Gdata Python客户端库)。
编辑:好的,我想,令牌是在客户端生成的,带有加密而不是从服务器端收集,因此可以在每个请求上生成令牌。我对么 ?这意味着,令牌永远不会为用户改变(除非我改变共享秘密)对吗?
答案 0 :(得分:8)
我认为两条腿的oauth场景不涉及创建令牌。当用户参与交互(第三站)时,需要令牌,因为用户需要授权该令牌。
用户没有直接参与双腿oauth,因此没有令牌授权,因此无需存储和创建令牌。
基本上,双腿oauth意味着您作为消费者应该使用您的CONSUMER共享密钥(提供商也知道)向提供商发出请求,以便提供商知道哪个消费者正在提出请求 - 这是一种验证它确实是您的应用程序需要数据的方法。但由于用户(第三站)没有参与,提供商不会创建令牌给你,因为你不需要 - 你只是直接访问数据,如果提供商支持两条腿,你的应用程序是允许使用该数据。
这篇文章可以更详细地解释两条腿和三条腿的流程。
http://hueniverse.com/2008/10/beginners-guide-to-oauth-part-iii-security-architecture/
只是添加一些结论:
两条腿的oauth只是一种身份验证方法 - 消费者通过使用他的密钥签署请求来验证自己(这会验证哪个消费者真正提出了请求)。
三脚oauth是身份验证和授权 - 消费者通过使用他的密钥签署请求进行身份验证,并且他获得了未经授权的请求令牌,然后需要由用户授权,因此消费者可以向提供者发出授权请求。 / p>