我使用Oauth已有一段时间了,但从未完全确定这四个术语(以及每个术语的功能)之间的区别。我经常看到(例如在Twitter Public API中)
Consumer key:
Consumer secret:
Access token:
和
Access token secret:
领域,但我从未确切知道他们在做什么。我知道Oauth可以对应用进行授权(让它们代表用户运行),但是我不理解这四个授权条款之间的关系,因此不愿意解释。
基本上,我不确定访问令牌或令牌密钥是如何生成的,它们的存储位置以及它们之间或与使用者密钥和密钥之间的关系。
谢谢
Answers:
使用者密钥是服务提供商(Twitter,Facebook等)发布给使用者(要访问服务提供商上用户资源的服务)的API密钥。该密钥确定了消费者。
消费者机密是消费者“密码”,它与消费者密钥一起用于从服务提供商请求访问(即授权)用户资源。
访问令牌是一旦消费者完成授权后服务提供商向消费者发出的令牌。该令牌定义使用者对特定用户资源的访问特权。每次消费者希望从该服务提供商访问用户数据时,消费者都会在对服务提供商的API请求中包含访问令牌。
希望能清除它。我建议浏览oAuth 2.0规范的开头。真的很有信息。
身份验证有两种,一种称为身份验证,它使用使用者密钥和使用者秘密来标识此客户端并确保它是有效帐户,第二种称为授权,它允许资源服务器识别哪种类型。在您有权处理数据或我们称为资源的操作中,此操作使用访问令牌和访问令牌密钥。
有关更多详细信息,请查看以下来自Google的有用幻灯片: