OAuth访问令牌如何适用于API请求?

时间:2012-03-06 09:18:57

标签: ruby-on-rails ruby oauth omniauth

我使用oauth-plugin创建了自定义OAuth提供程序。我想创建一个提供用户数据访问权限的提供程序API,但我不确定如何正确构建API查询。

我注意到几个Omniauth策略,包括TwitterLinkedinVimeo,通过access_token.get从各自的API访问用户数据,但这些调用API似乎是通用的,而不是特定于特定用户。

access_token.get调用中的某些内容是否标识了API的用户?如果没有,用户如何辨别?

1 个答案:

答案 0 :(得分:1)

在三足OAuth中,访问令牌标识并属于用户。

我为using oauth-plugin with rails to create an OAuth provider写了一篇博文。

如果您按照我的教程使用oauthenticate :interactive=>false来保护您的API,那么您将可以访问current_user方法,这样您就可以像对待用户一样对待用户。

您可以在http://tools.ietf.org/html/draft-ietf-oauth-v2-23阅读正式规范。第4节与身份验证相关,并且具有相当的可读性。