我使用oauth-plugin创建了自定义OAuth提供程序。我想创建一个提供用户数据访问权限的提供程序API,但我不确定如何正确构建API查询。
我注意到几个Omniauth策略,包括Twitter,Linkedin和Vimeo,通过access_token.get从各自的API访问用户数据,但这些调用API似乎是通用的,而不是特定于特定用户。
access_token.get调用中的某些内容是否标识了API的用户?如果没有,用户如何辨别?
答案 0 :(得分:1)
在三足OAuth中,访问令牌标识并属于用户。
我为using oauth-plugin with rails to create an OAuth provider写了一篇博文。
如果您按照我的教程使用oauthenticate :interactive=>false来保护您的API,那么您将可以访问current_user方法,这样您就可以像对待用户一样对待用户。
您可以在http://tools.ietf.org/html/draft-ietf-oauth-v2-23阅读正式规范。第4节与身份验证相关,并且具有相当的可读性。