我一直试图围绕使用Oauth为两条腿和三条腿的身份验证方案创建一个RESTFul API。我已经阅读了很多文章,而且我现在很困惑。现在查看各种API实现以获得更好的理解。
查看facebook api服务消费实现;获取访问令牌后。我注意到资源请求的以下url结构
https://graph.facebook.com/me?access_token= {access_token}
我在想app_key和消费者的secret_key也将作为参数传递。
我想象的是'offline_access'是权限范围的一部分。如果此访问令牌由另一个应用程序传递,该怎么办facebook如何验证它是否是合适的消费者?
谢谢。
答案 0 :(得分:2)
OAuth 2规范定义了每个用户的每个用户的访问令牌应该是唯一的。这只是意味着每个消费者都会获得一个新的访问令牌。如果消费者1具有消费者2的访问令牌,则API会认为消费者2正在发出请求。就这么简单。
当然,这要求访问令牌具有适当的安全性。它们如何受到保护远远超出OAuth的范围,尽管它确实定义它们只能通过SSL连接传递。