Qu'est-ce que le Jeton d'Accès ou Accès Jeton Secret et de la Consommation de la Clé contre la Consommation Secret

J'ai été en utilisant Oauth pour un certain temps, mais n'ont jamais été tout à fait sûr de la différence entre ces quatre termes (et de la fonctionnalité de chaque). J'observe fréquemment (par exemple dans le Twitter API Publique)

Consumer key:

Consumer secret:

Access token:

et

Access token secret:

champ, mais je n'ai jamais su exactement ce qu'ils font. Je sais que Oauth a la possibilité d'autoriser des applications (qu'ils agissent sur la place de l'utilisateur), mais je ne comprends pas la relation entre ces quatre autorisation et à l'amour d'une explication.

Fondamentalement, je ne suis pas sûr de savoir comment le jeton d'accès ou un jeton secret sont générés, où ils sont stockés, et quel rapport ils ont les uns des autres ou de la clé et le secret.

Merci

InformationsquelleAutor Startec | 2015-01-21
  1. 68

    Clé est essentiellement la clé API de l'application (Twitter, Facebook, etc.). Cette clé (ou "client ID", comme Facebook appelle) est ce qui identifie le client. Par ailleurs, un client est un site web qui tente d'accéder à un utilisateur final de ressources.

    Consommateur secret est le mot de passe du client qui est utilisé pour s'authentifier auprès du serveur d'authentification, qui est un compte Twitter/Facebook/etc. serveur authentifie le client.

    Jeton d'accès est ce qui est remis au client une fois que le client s'authentifie avec succès elle-même (à l'aide de la clé client & secret). Ce jeton d'accès définit les privilèges du client (quelles sont les données que le client peut et ne peut pas accéder). Maintenant, chaque fois que le client veut accéder à la fin des données de l'utilisateur, l' jeton d'accès secret est envoyé avec le jeton d'accès comme un mot de passe (similaire à la consommation secret).

    J'espère que efface jusqu'à. Je recommande écrémage par le début de la oAuth 2.0 spec. C'est très instructif.

    • Ce que je n'obtiens pas, c'est que dans mon application twitter, tous ces éléments sont déjà fournis (ce qui signifie que je n'ai pas eu à s'authentifier auprès d'un serveur pour obtenir un jeton d'accès parce que je n'avais que dès que j'ai signé une application avec twitter. J'ai pensé que vous avez dit que j'avais besoin d'être authentifié avant je obtenir un jeton d'accès?
    • Twitter vous permet de générer un jeton d'accès pour vous-même (en particulier votre compte), de sorte que vous pouvez tester avec elle. Cependant, pour tous les autres à l'aide de votre application, un jeton d'accès (pour l'utilisateur) ne peut être acquise qu'une fois que l'utilisateur est authentifié.
    • Si vous essayez et obtenir des informations de la part des utilisateurs compte Twitter, disposez-vous d'eux se connectent tous les temps/authentifier? Quelles sont les informations (token/touches) vous pouvez enregistrer pour la future demande? -- Pouvez-vous utiliser le même Jeton d'Accès/ Accès Secret?
    • Je suis en désaccord au sujet de votre description de "l'access token secret". Je ne sais pas ce que cela signifie, il n'est pas un standard, mais je sais que c'est PAS le cas, que "le jeton d'accès secret est envoyé avec le jeton d'accès". Il n'est pas. Lui seul jeton d'accès est envoyé. Je soupçonne que quelqu'un a écrit "le jeton d'accès secret" quand ils signifiait "le jeton d'accès, ce qui est un secret"
    • Notez que le terme de "consommateur" est ancienne. OAuth spécifications utiliser le terme de "client". Ceci est indiqué dans la section 1.1 de la tools.ietf.org/html/rfc5849
    InformationsquelleAutor Hen Sapir
  2. 5

    Il y a deux type d'authentification, le premier est appelé authentification qui utilise le consumer key et consumer secret pour identifier ce client, et être sûr que c'est un compte valide, le second appelé autorisation, il permet les ressources du serveur pour identifier le type d'actions que vous avez l'autorisation de le faire avec des données ou de ce que nous appelons une ressource, cette opération utilise le jeton d'accès et le jeton d'accès secret.

    Pour plus de détails, jetez un oeil à ce utile de diapositives à partir de google:

    https://docs.google.com/presentation/d/1KqevSqe6ygWVj4U-wlarKU7-SVR79x-vjpR4gEc4A9Q/edit?pli=1#slide=id.g1697c74a_1_14

    InformationsquelleAutor jyfar