Google Data API - повторное использование токена с двумя ногами
https://stackoverflow.com/questions/4768132
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я использую API Google Contact Data и генерирую токен по каждому запросу.
Это желательно или я должен хранить токен для повторного использования его в следующий раз?
Кроме того, как обнаружить усталый токен?
Я использую Python. (и клиентская библиотека Gdata Python).
РЕДАКТИРОВАТЬ: ОК, я полагаю, токен генерируется на стороне клиента с инкрипцией и не собирается со стороны сервера, поэтому можно генерировать токен по каждому запросу. Я прав ? А это значит, что токен никогда не меняется для пользователя (если я не изменяю общий секрет), верно?
Решение
Я думаю, что два сценария OAuth с двумя ногами не включает в себя создание токенов. Токены требуются, когда пользователь участвует во взаимодействии (3 -й этап), потому что пользователь обязан разрешить этот токен.
Пользователь не участвует непосредственно в 2-ногационном OAuth, поэтому нет авторизации токенов и, следовательно, не нужно хранить и создавать токены.
По сути, 2 -ногарный OAuth означает, что вы, как потребитель, должны подписать запрос, который вы сделали для поставщика с вашим общим секретом потребителя (о котором также знает поставщик), чтобы поставщик знал, какой потребитель делает запрос - это Способ подтвердить, что это действительно ваше приложение, которое требует данных. Но поскольку пользователь (3 -й этап) не участвует, поставщик не создает токен, чтобы дать вам, потому что вам не нужен его - вы просто получаете прямой доступ к данным, если поставщик поддерживает два нога и ваше приложение разрешено использовать эти данные.
Вот хорошая статья, которая может более подробно объяснить поток для двухногих и трехногих процессов.
http://hueniverse.com/2008/10/beginners-guide-to-oauth-part-iii-security-architecture/
Просто чтобы добавить что -то в качестве заключения:
2 -ногированный OAuth - это просто метод аутентификации - потребитель аутентифицирует себя путем подписания запроса со своим секретным ключом (это подтверждает, какой потребитель действительно делает запрос).
OAuth с 3 ноги - это аутентификация и авторизация - аутентификация потребителей посредством подписания запроса своим секретным ключом, и он получает неавторизованный токен запроса, который затем должен быть авторизован пользователем, чтобы потребитель мог сделать авторизованные запросы поставщику.
