API Google Data - Deux Legged Auth jeton réutilisation
https://stackoverflow.com/questions/4768132
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'utilise deux OAuth pattes pour un contact Google API de données et générer un jeton sur chaque demande.
Est-il conseillé ou un magasin Devrais-je jeton de le réutiliser la prochaine fois?
En outre, Comment détecter jeton périmé?
J'utilise python. (Et Bibliothèque Gdata Python Client).
Edit: Ok, figure I, le jeton est généré sur le côté client avec encrpytion et non recueilli à partir côté serveur, de sorte qu'il est convenable pour générer un jeton à chaque demande. Ai-je raison ? et que des moyens, le jeton ne changent jamais pour un utilisateur (à moins que je changer de secret partagé) droit?
La solution
Je pense que les deux scénarios oauth pattes ne comporte pas la création de jetons. Les jetons sont nécessaires lorsqu'un utilisateur participe à l'interaction (la 3ème étape), parce que l'utilisateur est tenu d'autoriser ce jeton.
L'utilisateur ne participe pas directement dans le OAuth 2 pattes, donc il n'y a pas d'autorisation jeton et donc pas besoin de stocker et de créer des jetons.
En gros 2 pattes moyens OAuth que vous en tant que consommateur doit signer la demande que vous faites au fournisseur avec votre CONSOMMATEUR secret partagé (que le fournisseur connaît aussi), de sorte que le fournisseur sait quel consommateur fait la demande - c'est une façon de confirmer que c'est vraiment votre application qui exige que les données. Mais puisque l'utilisateur (3ème étape) ne participe pas, le fournisseur ne crée pas un jeton pour vous donner, parce que vous ne avez pas besoin - vous venez d'obtenir un accès direct aux données, si les supports de fournisseur à deux pattes et votre application est a permis d'utiliser ces données.
Voici un bon article qui peut expliquer plus en détail le flux pour deux pattes et trois pattes processus.
http://hueniverse.com/2008/10/ débutants-guide-à-oauth-partie-iii-sécurité architecture /
Juste pour ajouter quelque chose en guise de conclusion:
2 OAuth en trois étapes est juste une méthode d'authentification -. Authentifie consommateur lui-même par la signature de la demande avec sa clé secrète (ce qui vérifie le consommateur est vraiment fait la demande)
3 OAuth en trois étapes est l'authentification et l'autorisation - Authentifier consommateur via la signature de la demande avec sa clé secrète et il se demande non autorisée jeton qui doit alors être autorisé par l'utilisateur, de sorte que le consommateur peut faire des demandes autorisées au fournisseur <. / p>
