Google Data API - Zwei -Bein -Auth -Token -Wiederverwendung
https://stackoverflow.com/questions/4768132
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich verwende zwei Beinbein -OAuth für die Google -Kontaktdaten -API und generiere auf jeder Anfrage Token.
Ist es ratsam oder sollte ich Token aufbewahren, um es das nächste Mal wiederzuverwenden?
Wie kann man abgestandenes Token entdecken?
Ich benutze Python. (und Gdata Python Client Library).
Bearbeiten: OK, ich denke, das Token wird auf Client -Seite mit Einschaltung generiert und nicht von der Serverseite gesammelt. Es ist also in Ordnung, Token für jede Anforderung zu generieren. Hab ich recht ? Und das bedeutet, dass sich das Token für einen Benutzer niemals ändert (es sei denn, ich ändere das gemeinsame Geheimnis), oder?
Lösung
Ich denke, dass das zweibeinige OAuth -Szenario keine Token erstellt. Token sind erforderlich, wenn ein Benutzer an der Interaktion (das 3. Bein) teilnimmt, da der Benutzer dieses Token genehmigen muss.
Der Benutzer nimmt nicht direkt an der 2-legierten OAuth teil, daher gibt es keine Token-Autorisierung und daher keine Tokens zu speichern und zu erstellen.
Grundsätzlich 2 -Being -OAuth bedeutet, dass Sie als Verbraucher die Anfrage unterschreiben sollten, die Sie dem Anbieter mit Ihrem Verbraucher gemeinsam genommen haben (was der Anbieter auch kennt), damit der Anbieter weiß, welcher Verbraucher die Anfrage stellt - dies ist eine Möglichkeit, zu bestätigen, dass es wirklich Ihre Anwendung ist, die Daten erfordert. Da der Benutzer (3. Leg) jedoch nicht teilnimmt, erstellt der Anbieter kein Token, das Sie angeben können, da Sie keine benötigen. Sie erhalten nur direkten Zugriff auf die Daten, wenn der Anbieter zwei Bein unterstützt und Ihre Anwendung ist Erlaubt, diese Daten zu verwenden.
Hier ist ein guter Artikel, der den Fluss für zweibeinige und dreibeinige Prozesse genauer erläutern kann.
http://hueniverse.com/2008/10/beginers-guide-to-auth-tiii-security-architecture/
Nur um etwas als Schlussfolgerung hinzuzufügen:
2 -legierte OAuth ist nur eine Authentifizierungsmethode - Verbraucher authentifiziert sich, indem er die Anfrage mit seinem geheimen Schlüssel unterzeichnet hat (dies prüft, welcher Verbraucher die Anfrage wirklich stellt).
3 -legierte OAuth ist Authentifizierung und Autorisierung - Verbraucher authentifizieren sich durch die Unterzeichnung der Anfrage mit seinem geheimen Schlüssel und er erhalten unbefugte Anforderungs -Token, die dann vom Benutzer autorisiert werden muss, damit der Verbraucher autorisierte Anfragen an den Provider stellen kann.
