【问题标题】:Can OAuth access tokens be used for securing Permanent access to an account?OAuth 访问令牌可以用于保护对帐户的永久访问吗?
【发布时间】:2010-10-07 09:39:47
【问题描述】:

我可以使用 OAuth 提供者提供的请求令牌并永远使用它吗?我正在寻找建立一个与 Delicious api 交互并每两周查找更新书签的服务。我只是想知道是否可以使用相同的请求令牌而不是要求用户一次又一次地进行身份验证。如果我不能,这就是我猜的答案,那么这种行动的最佳实践是什么?

我最后的选择是期望用户将他们美味的用户名和密码交给我,在这种情况下,我的工作变得非常容易。

【问题讨论】:

    标签: authentication oauth delicious-api


    【解决方案1】:

    这是特定于实现的 - 您必须查看 Delicious 文档对令牌的说明。它可能会过期、使用受限或使用时有副作用。

    大多数 OAuth 实施可能会在某个时候使他们的令牌过期,以减少他们必须跟踪的有效令牌的数量。

    一般来说,用户代理帮助应该减少 SSO 身份验证系统的问题 - 当用户在没有有效令牌的情况下出现时,浏览器会被重定向到身份验证器,它会查看浏览器上存储的凭据(通常cookie)并使用新令牌将用户重定向回来,无需任何用户交互。这对于 OAuth 来说可能比 OpenID 更复杂,因为如果它不仅仅进行身份验证,则可能不适合发布新令牌。而且由于身份验证/授权过程是特定于实现的,因此您需要能够输入新凭据,除非您知道令牌是有效的。

    【讨论】:

    • 没错,我同意 OAuth 令牌应该在一定时间后过期的逻辑。但由于 OAuth 被认为是一种从第三方访问数据的安全机制,因此应该进行一些修改以使其更合理。鉴于有很多第三方集成/聚合/增值服务,必须有一种机制来获取个人帐户的永久句柄(当然这可以在特定域上验证 - 例如应用程序 ID - 由在您的服务器上发布文件)。
    • ... 这样,用户可以随时控制谁使用他/她的数据,可以在个人级别或域级别阻止它。每次 OAuth 令牌过期时要求用户输入凭据在用户体验方面确实很痛苦。
    • 重点是这超出了 OAuth 的范围。如果你想要这个,你需要使用提供它的 OAuth 系统。 OAuth 不会阻止颁发永久令牌,它只是不需要它。当涉及用户代理时,可以使用 OAuth 和 OpenID 完全按照您的意愿行事。例如,我只需要为 StackOverflow 输入一次凭据,即使令牌可能在我第一次登录后已经过期。
    【解决方案2】:

    可能不会直接回答您的问题,twitter oAuth 允许拥有永久请求令牌。

    【讨论】:

      猜你喜欢
      • 2021-10-24
      • 2013-01-29
      • 2013-01-11
      • 2023-04-10
      • 2012-07-20
      • 2012-08-23
      • 1970-01-01
      • 2014-02-22
      • 2018-01-31
      相关资源
      最近更新 更多