One*_*ema 19 php storage oauth access-token
我们有许多客户使用我们的API来支持他们的网站.
我已经开始就使用OAuth进行经过身份验证的API调用进行了对话.我们将同时拥有两条和三条腿.
对于三条腿的流程,我们仍未就如何存储访问令牌和秘密达成共识.
解决此问题的常见方法是让客户端将访问令牌和密钥存储在自己的数据库中,但这是不可能的,因为客户端不希望处理代码更改和实现问题.
我们正在考虑的其他选择:
1)将访问令牌和秘密保存在cookie中
2)将它们保存在会话中.
我不确定这些中的任何一个是不是一个好主意.有没有人有什么建议?
谢谢.
Jas*_*son 13
我假设你在谈论典型的"服务提供商","消费者"和"用户"类型的设置.如果您的消费者(客户)拒绝进行任何更改,我不知道您是否能够实施三脚oAuth.
会话和cookie可用于保存令牌,但问题是,您的消费者(您的客户)需要保存它们 - 而不是您.对API的调用发生在后端,因此该范围内没有真正的会话或cookie.如果您只是进行JavaScript调用,也许这确实有效,但即使这样,通常也会通过代理进行调用,以避免出现跨域脚本问题.
在任何一种情况下,如果令牌存储在会话或cookie中,它们将是"临时"密钥,并且用户必须在会话或cookie过期时重新进行身份验证.但就oAuth规范而言,只要用户不介意重新进行身份验证,就没有任何问题.
您可以参考使用MVC 5 Razor引擎编写的.NET示例应用程序
| 归档时间: |
|
| 查看次数: |
18325 次 |
| 最近记录: |