Как token токен доступа к потребляющему приложению

Question

Я пытался обернуть голову вокруг создания RESTFul API, используя Oauth для двухэтапных и трехногих сценариев аутентификации. Я прочитал много статей, и сейчас я очень смущен. Теперь просматривайте различные реализации API, чтобы получить лучшее понимание.

При взгляде на реализацию потребления api в facebook api; после получения токена доступа. Я заметил следующую структуру URL-адрес для запроса ресурсов

https://graph.facebook.com/me?access_token= {access_token}

Я думал о app_key и secret_key потребителя будет также передается в качестве параметра.

Я представляю сценарий, в котором 'offline_access' является частью области полномочий. что, если этот токен доступа передается другим приложением. Как facebook подтверждает, что он является правильным потребителем?

спасибо.

Answer 1

Спецификация OAuth 2 определяет, что токены доступа должны быть уникальными для каждого пользователя для каждого потребителя. Это просто означает, что каждый потребитель получает новый токен доступа. Если у потребителя 1 есть токен доступа потребителя 2, API будет думать, что потребитель 2 делает запрос. Просто как тот.

Конечно, это требует обеспечения надлежащей безопасности на токенах доступа. Как они защищены, в значительной степени выходит за рамки OAuth, хотя он и определяет, что их нужно передавать только через SSL-соединения.

Don't read articles. Read the actual specification.