【发布时间】:2010-01-25 07:57:58
【问题描述】:
我有一个谷歌应用引擎项目,我想将我的 REST API 提供给第三方。喜欢 twitter API。
Twitter 要求发送用户和密码,以便他们可以被授权 - 我可以使用 google 用户帐户执行此操作吗?
我在本网站的某处读到这不是首选方法,因为他们的凭据已输入第三方应用程序/通过等。
我不想过于复杂并将它们重定向到谷歌自己的登录名/验证码等等。我已经看到了这个的实现——即使是桌面/手机/小部件,这也可能无法正常工作。
是第三方应用程序调用我的服务的解决方案 - 应用程序调用我网站上的页面(要求登录 - 我只是添加登录权限)用户然后登录,然后我的应用程序创建一个长令牌然后将其传递回第三方应用程序,该应用程序将其存储在自己的存储库中,并将其作为 Token arg 传递到 post/put/delete 请求中。 然后,我的 REST 服务检查令牌并对照查找(令牌|用户密钥)对并允许/拒绝方法调用。
我也可以向应用询问他们的域名吗?并存储它。我想我可以在 REST 服务上读取请求的 url 并检查它们是否匹配等?
这是一个合理的解决方案还是我生活在 90 年代?
【问题讨论】:
标签: python google-app-engine rest authorization