我正在开发一个关于OAuth的Twitter应用程序,我希望能够在将来发布更新。未来可以使用OAuth安排Twitter状态更新吗?
基本计划是每小时运行一次脚本并查找需要发布的任何更新,然后验证相应的用户并使用状态/更新API调用。
但是,我不知道如何使用OAuth。我显然不想存储他们的用户名和密码 - 这首先打败了使用OAuth的对象。
但是,如果这是唯一的选择,那么我怎么能不存储他们的密码的明文副本,但仍然认证他们?
使用OAuth,您最初只需要用户凭证即可获取oauth标记。获得oauth标记后,使用oauth标记代替这些凭据。在OAuth后面的调用中唯一的问题是与服务端的令牌关联的任何TTL(生存时间)。 Twitter does not apparently expire tokens,所以一旦你有一个有效的令牌,你应该能够代表用户继续拨打电话。 (1)在运行应用程序的初始阶段,或(2)如果用户的会话由于某种原因变为无效(更改密码,用户指示的会话失效,等等。)。
查看OAuth spec了解更多详情。
请注意,如果您打算在您的应用程序的调用之间使用相同的用户令牌,则应该准备加密该令牌并将其安全地存储。如果有人捕捉到您的消费者密钥和秘密以及用户令牌,则用户的身份可能会受到影响。