我需要帮助为社交网站编写API。我的主要问题是Facebook如何不使用SSL并编写API?如果他们没有使用API,那么用户信息都是以明文形式传递的,这是非常不安全的,那么他们是如何在API中传递密码的呢?
答案 0 :(得分:0)
如今,大多数社交网站(Facebook,Twitter等)都使用OAuth来验证第三方消费者。
基本上,服务提供商(Facebook)与消费者(如Farmville)签订了条件协议。当用户(您)想要使用Farmville时,消费者会将您的请求传递给服务提供商,您可以选择允许或拒绝消费者访问提供商处的受保护资源(例如:Facebook提示您并询问,“你想让Farmville访问你的朋友列表,照片等吗?”)。授权使用者访问受保护资源后,使用者可以访问受保护资源,直到删除该令牌(它可以过期或手动删除)。
这样做的好处是永远不会为受保护资源(Facebook帐户)提供第三方(如Farmville)凭据,(又称:密码反模式)。
您应该为社交网站实施OAuth提供商服务。您可以浏览Twitter和Facebook's身份验证文档以及www.oauth.net,了解OAuth的实施方式。