facebook 如何将访问令牌与消费应用程序匹配

Question

我一直在尝试使用 Oauth 创建一个 RESTFul API，用于 2-legged 和 3-legged 身份验证场景。我已经阅读了很多文章，现在我很困惑。现在查看各种 API 实现以获得更好的理解。

在浏览 facebook api 服务消费实现时；获得访问令牌后。我注意到以下资源请求的 url 结构

https://graph.facebook.com/me?access_token={access_token}

我在想消费者的 app_key 和 secret_key 也将作为参数传递。

我正在想象一个场景，其中“offline_access”是权限范围的一部分。如果此访问令牌由另一个应用程序传递怎么办。 facebook 如何验证它是正确的消费者？

谢谢。

Answer 1

OAuth 2 规范定义了访问令牌对于每个消费者对于每个用户都应该是唯一的。这仅仅意味着每个消费者都会获得一个新的访问令牌。如果消费者 1 拥有消费者 2 的访问令牌，API 会认为消费者 2 正在发出请求。就这么简单。

当然，这需要对访问令牌进行适当的安全保护。它们的安全方式几乎超出了 OAuth 的范围，尽管它确实定义了它们只能通过 SSL 连接传递。

Don't read articles. Read the actual specification.