Jeton OAuth 2.0 et la durée de Vie

J'essaie de comprendre le protocole OAuth 2.0(CÔTÉ SERVEUR de FLUX de). Prenons exemple simple de contacts Google API.

Selon les spécifications, j'ai enregistré mon application avec Google et ont obtenu d'identification du Client et de secrets du Client.J'ai également mentionné URL de callback.

Obtenir un jeton d'accès m'oblige à faire

  1. Rediriger l'utilisateur vers une URL spécifique nécessaire avec les chaînes de requête et les en-têtes comme mentionné dans le protocole OAuth document sur le site Google (https://accounts.google.com/o/oauth2/auth bla bla trucs)

  2. Après l'utilisateur d'entrer leurs informations d'identification, elles sont renvoyées à l'URL de callback comme mentionné dans mon APPLICATION que j'ai déjà enregistré auprès de google. ici paramètre querystring &code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp6 bla bla est également annexée au retour d'appel de l'URL. Donc maintenant avez obtenu le code d'autorisation

  3. Maintenant, j'ai envoyer une demande à https://accounts.google.com/o/oauth2/token avec le code d'autorisation que j'ai obtenu à l'étape précédente, de sorte que je reçois jeton d'accès et d'actualisation de jeton.

Une fois que j'ai eu ce "jeton d'accès" , je peux accéder (disons contact API et obtenir les contacts des utilisateurs)

Tout va bien jusqu'à ce point. Je comprends aussi que les jetons d'accès ont limité la durée de vie nous permet d'obtenir de nouveau jeton d'accès à l'aide d'actualisation "jeton".

A. en tant Que développeur, il est de ma responsabilité de les stocker et de vérifier si le "jeton d'accès" est-elle valable?

B. Si mon site est un site web public avec "la Connexion avec Google/FB/twitter" compte, comment puis-je savoir que c'est la même utilisateur qui a renvoyé vers le site après 2 jours et je n'ai pas besoin de lui demander pour la connexion, à la place de l'utilisateur devrait être automatiquement connecté au site ? quand on sait qu', je ne veux pas lui de passer à travers le processus d'autorisation comme ils l'ont déjà donné la permission à mon application.

E. G : je me suis connecté au site TechCrunch à l'aide de mon FB login et de formuler des commentaires sur les articles. Maintenant, même après 1 semaine si je visite TechCrunch , je n'ai pas à vous connecter à nouveau. comment savent-ils que son moi et je suis déjà authentifié ?

InformationsquelleAutor NoobDeveloper | 2011-09-10
  1. 16

    1. Lors de l'utilisation de l'authentification OAuth 2.0, vous obtenez un jeton d'accès qui dispose d'un délai d'expiration envoyé avec elle. Soit vous pouvez garder une trace de quand il expire, ou vous pouvez juste continuer à l'utiliser jusqu'à ce que vous obtenez une INVALID_TOKEN erreur. Ensuite, vous devez appeler le service d'émission de jeton d'actualisation pour obtenir un nouveau jeton d'accès. Votre jeton d'actualisation est bon jusqu'à sa révocation.

    2. C'est OpenID, pas OAuth. L'écoulement est similaire, mais c'est pour la déconnexion d'un utilisateur dans votre service. OAuth est pour vous récupérer les données de l'utilisateur à partir d'un autre compte.

    • Pour la B, j'ai donc besoin de mettre en œuvre OpenID chose sur le site web afin que les utilisateurs peuvent se connecter à l'aide de FB/twitter/Google etc etc compte et puis OAuth séparément, de sorte que je peux tirer de leurs données. Corrigez-moi si ma compréhension est erronée.
    • Oui et non. Il y a un protocole hybride qui permet de faire les deux à la fois.
    • le lien de protocole Hybride points me OAuth 1.0. Je ne vais pas être en utilisant OAuth 1.0
    • Quelle est la durée d'actualisation "jeton" est-il valide ?
    • Cela dépend du serveur. Le délai d'expiration vient dans la réponse qui détient le jeton d'actualisation.
    • Pas de. le délai d'expiration qui vient avec la réponse est pour le jeton d'accès(de courte durée) et de ne pas actualiser jeton (de longue durée).
    • Oups. Anil est correct.

    InformationsquelleAutor Mark S.