我有一个在多个网站上运行的API。用户可以通过这些客户端站点上的多个社交登录进行注册。我要说的是Twitter。如何在客户网站和实际用户的api网站上进行身份验证?我正在通过Javascript进行api调用,有人可以看到发送到api请求的内容。即使他们确实看到了我想验证他们正在使用该用户名的访问令牌,而不是他们试图发送的伪造用户名。双方是否需要知道消费者密钥和消费者密钥才能验证凭据?我在寻找注册期间如何做到这一点的最佳工作流程。
答案 0 :(得分:0)
您是否考虑过使用JanRain Engage(http://www.janrain.com/products/engage)之类的东西为您的用户提供简化的社交登录环境?
免责声明:我不为JanRain工作,只是他们的产品的粉丝,以简化社会认证。
答案 1 :(得分:0)
我使用第三方框架,使用使用者密钥,使用者密钥,令牌访问和令牌访问密钥调用验证凭据,并将结果的用户ID与请求中的结果进行比较。