我开始使用Twitter API对用户进行身份验证时发现了一个很棒的article。
我发现在普通的网络应用中,您可以将用户名和OAuth令牌/机密写入数据库。我的困惑源于你从那时起如何处理用户。您是否只是在每次登录后将它们发送到Twitter以验证并存储这些以用于会话变量?或者这更像是“与您的帐户关联推特”,而不是“通过推特登录我们的网站”?
最后,我相信我在其他地方读过OAuth用户令牌和机密未过期(或至少持久)。这不会允许创建可以作为用户发推文的流氓应用程序吗?当然,我无意这样做,但似乎确实如此。
答案 0 :(得分:0)
我想你可以称之为“将Twitter与您在本网站上的身份联系起来。”一旦某人使用Twitter登录进行身份验证,您就可以继续使用其存储的令牌来阅读和更新其帐户。您不应该要求他们在每次访问时都通过Twitter登录。那太烦人了。您可以使用cookie来告诉您访问您网站时他们是谁,这样您就可以获得他们存储的令牌。
是的,这确实允许应用作为用户发推文,但是当他们这样做时,推文底部的来源会显示哪个应用发了推文。如果用户不批准,他们可以删除推文并删除他们对该应用的批准以访问其帐户。他们在Twitter.com上的Twitter个人资料设置中执行此操作。这是一个比给应用程序提供用户名和密码的旧方法更好的模型。唯一的选择是更改密码,这会使您的所有应用无效。