Подтвердить что ты не робот

Что такое токен доступа и секрет токена доступа и потребительский ключ или потребительский секрет

Я использовал Oauth некоторое время, но никогда не был полностью уверен в различии между этими четырьмя терминами (и функциональностью каждого из них). Я часто вижу (например, в публичном API Twitter)

Consumer key:

Consumer secret:

Access token:

и

Access token secret:

но я точно не знаю, что они делают. Я знаю, что Oauth имеет возможность авторизации приложений (пусть они действуют от имени пользователя), но я не понимаю отношения между этими четырьмя терминами авторизации и хотел бы получить объяснение.

В принципе, я не знаю, как генерируются секрет маркера доступа или токена, где они хранятся, и какое отношение они имеют друг к другу или к ключу и секрету потребителя.

Спасибо

4b9b3361

ОТВЕТЫ

Ответ 1

Потребительский ключ - это, по сути, ключ API, связанный с приложением (Twitter, Facebook и т.д.). Этот ключ (или "идентификатор клиента", как его называет Facebook) определяет идентификатор клиента. Кстати, клиент - это веб-сайт/служба, которая пытается получить доступ к ресурсам конечных пользователей.

Потребительский секрет - это пароль клиента, который используется для аутентификации на сервере аутентификации, который является Twitter/Facebook и т.д. сервер, который аутентифицирует клиента.

Ток доступа - это то, что выдается клиенту после успешной аутентификации клиента (с использованием ключа клиента и секретности). Этот токен доступа определяет привилегии клиента (какие данные клиент может и не может получить). Теперь каждый раз, когда клиент хочет получить доступ к данным конечного пользователя, секрет токена доступа отправляется с токеном доступа в качестве пароля (аналогично секрету потребителя).

Надеюсь, что это очистит. Я бы порекомендовал skimming в начале oAuth 2.0 spec. Это действительно информативно.

Ответ 2

Существует два типа аутентификации: первая называется аутентификацией, которая использует ключ потребителя и секрет потребителя для идентификации этого клиента и уверен, что это действительная учетная запись, вторая называется авторизацией, она позволяет серверу ресурсов определить, какие действия у вас есть разрешение на использование данных или то, что мы называем ресурсом, эта операция использует токен доступа и секрет доступа к токенам.

Для получения дополнительной информации ознакомьтесь с этими полезными слайдами из google:

https://docs.google.com/presentation/d/1KqevSqe6ygWVj4U-wlarKU7-SVR79x-vjpR4gEc4A9Q/edit?pli=1#slide=id.g1697c74a_1_14