繁体   English   中英

对于使用OAuth的现有网站感到困惑,但是现在我们向该网站添加了API

Confused about an existing website with OAuth but now we add an API to the site

提示:本站收集StackOverFlow近2千万问答,支持中英文搜索,鼠标放在语句上弹窗显示对应的参考中文或英文, 本站还提供   中文繁体   英文版本   中英对照 版本,有任何建议请联系yoyou2525@163.com。

我正在为我们的产品编写API,并且试图了解一些基本的OAuth如何与可能利用我们(待创建)API的移动应用有关。

假设我们的网站当前允许某人通过Twitter OAuth登录到我们的网站。 在来自Twitter的回调中,我们的服务器检索Twitter OAuth结果,如果一切正常,则检查该用户是否已存在于我们的数据库中(例如,假设电子邮件是唯一密钥)。 如果不存在,我们将创建一个新用户。

当然,然后我们将用户“ in”登录,这意味着我们为他们的浏览器创建一个cookie。

到目前为止-这里没有新内容。 所有正常的东西。

现在..如果我们要使用其本国语言通过iPhone或Windows Phone通过应用程序使用我们的API来执行此操作,我不确定OAuth结束并由我们的API接管吗?

例如,假设它是一个利用我们的API的iPhone应用程序。 iPhone应用程序将尝试根据其Twitter凭据对用户进行身份验证。 好的。 但是当它回叫时,它又回到了手机中,对吗? 不是我们的服务器。 那么,应用程序需要尝试创建新用户吗? 因此,iPhone可能会尝试调用/api/CreateAccount 但这意味着-任何人都可以调用此api? 网站如何真正知道他们已通过身份验证? 仅因为该应用程序是这样说的? 是什么阻止该人创建恶意应用并通过创建新帐户来泛滥我们的API来调用我们的API? 对api资源进行身份验证又如何呢? 表单身份验证在这里不可用。 那么人们是否将基于SSL的查询字符串身份验证用于api调用? iPhone如何通过我们的服务器进行身份验证?

我很混乱。

任何人都可以解释当人们拥有网站和api并将OAuth用作身份验证机制时,人们如今所做的区别和常见做法吗?

1 个回复

天真的应用程序不会调用CreateAccount ,而会调用带有Twitter的oauth数据集的VerifyAccount ,以便您站点和API可以对其进行验证。 该网站将使用唯一的用户ID进行响应,而您的iOS应用将使用该ID作为内部用户ID。 更多信息

1 对oAuth感到困惑,在Rails中创建安全的API

当我希望一个应用程序无需用户登录就能够检索特定于应用程序的信息时,以及为我的API的另一部分提供OAuth提供程序时,如何保护我的API? 我可以在没有用户登录的情况下使用客户端应用的OAuth凭据访问API吗? 我已经按照railscasts 353使用门卫创建了OAuth提供者和客户 ...

2 对OAuth流中的回调感到困惑

假设您要使用基于OAuth的身份验证系统保护的REST API。 使用我正在使用的网站的常规流程是: 用户单击链接以登录到Google Google向您指定的回调发送请求 您的应用程序通过获取给定的令牌并请求用户数据,在数据库中查找该用户数据对应的内容,并为您返回We ...

3 对API更改感到困惑

由于LinkedIn支持已移至StackOverflow,所以我们开始了。 不过,这似乎是一个愚蠢的问题... LinkedIn API将在不久的将来升级到v2,但我不确定哪些数据将真正可用(无需成为LinkedIn合作伙伴)。 我一直在阅读API v2文档。 这里讨论的是r_b ...

4 我对OAuth / Facebook流程感到困惑

我已经使用标准的PHP库按照http://developers.facebook.com/docs/api#authorization上的说明进行操作。 一切正常,直到将其重定向到我的网站。 我不确定我要在这里做什么! 发生重定向后,我可以看到在Facebook上谈论的主要密钥,这些密钥用 ...

5 对OAuth和Google Calendar Gadget完全感到困惑

我正在使用Google Calendar Gadget,需要从远程服务器为用户加载数据。 它很简单,就像喜欢的颜色一样,但是我需要用户的ID。 使用makeRequest通常可以正常工作,但是我需要将帐户名称,其哈希值或任何种类的标识符发送到服务器,以便它获取正确的数据。 获取该信息的最简 ...

7 对Dropbox API的用法感到困惑

我在应用程序中实现了新的DropBox Core API。 我在Dropbox中成功创建了该应用程序,并且已经能够成功将文件从本地计算机下载和上传到Dropbox。 我的困惑是,此API是特定于应用程序还是特定于用户级别? 意思是,如果我们从帐户创建了Dropbox应用,假设您说A,那 ...

8 对add_library()感到困惑

我目前正在开发一个库,希望该库可以帮助学生使用c ++非常轻松地渲染基本2D图形。 问题是我构建它的方式。 这是一个工作版本: 可执行文件已成功创建,并且该应用程序按预期工作。 但是我想将其构建为一个库并将其链接到主程序,以便可以轻松地在代码块(我的学校使用的代码)中创建自定义模板 ...

2018-08-17 13:46:31 1 32   cmake
暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

 
粤ICP备18138465号  © 2020-2021 STACKOOM.COM