【发布时间】:2020-09-26 09:04:06
【问题描述】:
钥匙告诉你你是谁..
秘密告诉你它是否是真的......
但是,这两个都可以通过拥有一个唯一的秘密字符串来实现。一种令牌。
一种方法比另一种方法有什么优势?
【问题讨论】:
标签: authentication oauth
【发布时间】:2020-09-26 09:04:06
【问题描述】:
OAuth 过程更多地与使用密钥和秘密有关。简而言之,这就是发生的事情。 key/clientId和secret不能用来调用API
- 您在页面/应用程序上提供一个按钮以使用 key 和 redirect_url 进行授权
- 用户点击并表示同意
- 提供商使用代码调用您的redirect_url
- 代码包含 secret、key 和 redirect_url 并发送到提供者令牌 url 以获取 access_token 和 refresh_token
- 然后你就可以使用这个access_token调用api了
- access_token 已过期,因此需要使用密钥、秘密和 refresh_token 再次发出刷新请求
我与 Pathfix 合作并以此为生。我们基本上获取您的密钥和秘密并完成整个过程并为您存储令牌。您可以使用我们的通用端点来进行所有 API 调用,我们让您的令牌保持活动状态并标记您的 API 并为您完成您的请求:)
【讨论】:
-
我问的是常规 api 调用,而不是您需要用户进行身份验证和授予访问权限的地方。此外,此答案仅说明了 oauth2 过程中采取的步骤,但从未解释原因。它声明不能使用....但从不回答为什么。
-
为什么在 OAuth 过程中。你的问题可能还不清楚。你能改写你的问题。到目前为止,您正在讨论密钥和秘密并将其标记为 OAuth。可能会误导试图提供帮助的人
-
我的意思是,无论哪种方式,答案都描述了好处,它只是列出了过程。问题清楚地说明了好处是什么?