我正在尝试使用两脚oauth来允许移动客户端登录到我创建的api,但是我无法完全理解适当的工作流程以及所有的教程似乎都说有些不同。双腿OAuth工作流
从我在双腿版本中读到的oauth消费者密钥和消费者密钥专门分配给用户,并且不使用这些令牌。因此,当用户登录时,他们(或他们的设备)必须呈现他们的消费者密钥和秘密,并且我们可以使用它来验证他们的身份。但那又如何?客户端设备是否收到他们用来访问API的令牌,或者他们是否在每次请求时都发送消费者信息?
而用户只能被期望记住一个用户名和密码,我们如何从客户端设备上的用户名和密码到用户密钥和秘密发送到服务器?
是的,我们希望让用户专门为我们的服务创建用户名/密码,我们并不想与Google,Yahoo等进行整合。是的,我们想使用用户名和密码,但不确定他们在oauth中扮演什么角色。我见过的示例oauth验证实现都没有用密码做任何事情。 – Michael 2011-04-10 00:44:06
听起来好像你想要用户名和密码,然后,而不是OAuth。您希望从OAuth获得什么?有关您的架构的更多信息可能会有帮 – justarobert 2011-04-10 03:09:04
我对于双腿OAuth还不是很熟悉,但一般来说使用OAuth的一个主要优点是您永远不必存储用户的实际用户名和密码,而是存储某种OAuth凭据(例如键/密钥)。如果用户的移动设备被盗,他们可以使用用户名/密码登录您的网站,并取消对设备上存储的OAuth凭据的授权,所以现在小偷无法使用该设备登录。 OAuth凭证也可以带有有限的权限,所以即使它们被入侵,也没有人能够更改密码。 – heavi5ide 2011-05-05 07:05:34