oauth 2 провайдера - необходимо иметь ключ API и идентификатор приложения для клиентов?

Question

oauth 2 провайдера - необходимо иметь ключ API и идентификатор приложения для клиентов?

Я реализую OAuth 2-провайдер и мне интересно, нужно ли генерировать как ключ API, так и идентификатор клиента для клиентов, когда они регистрируют приложение у моего провайдера.

Если посмотреть на поставщиков OAuth 1.0a, таких как Google и Twitter, у них есть только один ключ для клиентов, но Facebook (OAuth 2) имеет и ключ API, и идентификатор приложения, но использует идентификатор приложения в качестве параметра "client_id" в своем OAuth. 2 танца.

Я уверен, что ни в спецификации OAuth 1.0a, ни в спецификации OAuth 2 не указано более одного ключа для клиента.

Я не уверен, в каком контексте поставщик должен будет сгенерировать оба для клиентского приложения.

0

oauth-2.0 oauth oauth-provider

Источник

user422381 03 фев '11 в 08:10

1 ответ

Решение

Другие вопросы по тегам oauth-2.0 oauth oauth-provider

user567936 03 фев '11 в 08:46 2011-02-03 08:46 · Accepted Answer · 2011-02-03 08:46

Могу поспорить, что Google и Twitter также используют идентификаторы приложений в своих записях базы данных для каждого приложения. В твиттере, когда вы управляете своими приложениями OAuth, вы переходите по http://dev.twitter.com/apps/1234, где 1234 - идентификатор приложения.

Просто в Facebook они начали использовать "приложения" до OAuth и использовали идентификатор приложения для приложений, чтобы идентифицировать себя в запросах с самого начала. Вероятно, это всего лишь какое-то решение, принятое их разработчиками для уменьшения сложности с их стороны.

В заключение, идентификатор приложения - это просто способ отслеживания приложений, поэтому вопрос в том, как вы будете?

Просто отметьте, что когда приложение взломано, должна быть опция для сброса ключа потребителя и / или секрета.