Проверка пользователей с помощью Twitter OAuth API

Question

Я нашел отличное article при запуске с использованием API Twitter для аутентификации пользователей.

Я вижу, что в обычном веб-приложении вы должны писать имя пользователя и токен/секрет OAuth в базу данных. Моя путаница объясняется только тем, как вы обрабатываете пользователей с этого момента. Вы просто отправляете их в twitter каждый раз, чтобы проверить и сохранить их для использования в переменной сеанса после входа в систему? Или это более «связанный твиттер с вашей учетной записью», чем «войти в наш сайт через твиттер»?

Наконец, я считаю, что я читал в другом месте, что токен и секрет пользователя OAuth не истекают (или, по крайней мере, долговечны). Разве это не позволит создавать приложения-изгои, которые могут чирикать как пользователь? Разумеется, я не собираюсь этого делать, но, похоже, это так.

Answer 1

Я думаю, вы могли бы назвать это «связать Twitter с вашей личностью на этом веб-сайте». Когда кто-то аутентифицируется с помощью входа в Twitter, вы можете продолжать использовать свои сохраненные токены для чтения и обновления своей учетной записи. Вы не должны просить их вести вход через Twitter при каждом посещении. Это просто раздражает. Вы использовали бы cookie, чтобы рассказать вам, кто они, когда они посещают ваш сайт, чтобы вы могли получить свои сохраненные жетоны.

Да, это позволяет приложениям чирикать как пользователь, но когда они это делают, источник в нижней части твитов показывает, какое приложение произвело твит. Если пользователь не одобряет, они могут удалить твиты и удалить их одобрение для этого приложения для доступа к своей учетной записи. Они делают это в своих настройках профиля Twitter на Twitter.com. Это гораздо лучшая модель, чем старый способ предоставления приложениям вашего имени пользователя и пароля. Единственным вариантом было изменение пароля, что сделало бы недействительными все ваши приложения.