我正在实施OAuth 2提供商,并且想知道在向我的提供商注册应用时,是否有必要为客户生成API密钥和客户端ID。
通过查看OAuth 1.0a提供商(如Google和Twitter),他们只为客户提供一个密钥,但Facebook(OAuth 2)同时具有API密钥和应用程序ID,但使用app id作为其“client_id”参数在他们的OAuth 2舞蹈中。
我非常确定OAuth 1.0a和OAuth 2规范都没有为客户端指定多个密钥。
我不确定提供商在什么情况下需要为客户端应用生成两者。
答案 0 :(得分:1)
我敢打赌Google和Twitter也会在每个应用程序的数据库记录中使用应用程序ID。在Twitter中,当您管理OAuth应用时,请转到http://dev.twitter.com/apps/1234,其中 1234 是应用程序ID。
只是在Facebook上,他们开始在OAuth之前使用“应用程序”,并且他们一直在使用应用程序的应用程序ID从一开始就在请求中标识自己。这可能只是他们的开发人员做出的一些决定,以减少他们的复杂性。
总之,应用程序ID只是跟踪应用程序的方式,所以问题是你将如何进行?
请注意,当应用程序遭到入侵时,应该有一个重置消费者密钥和/或密钥的选项。