Was ist das Access Token vs. Access Token Secret und der Consumer Key vs. Consumer Secret?

75

Ich benutze Oauth schon eine Weile, war mir jedoch des Unterschieds zwischen diesen vier Begriffen (und der Funktionalität der einzelnen Begriffe) nie ganz sicher. Ich sehe häufig (zum Beispiel in der öffentlichen Twitter-API)

Consumer key:

Consumer secret:

Access token:

und

Access token secret:

Feld, aber ich habe nie genau gewusst, was sie tun. Ich weiß, dass Oauth Apps autorisieren kann (lassen Sie sie im Namen eines Benutzers handeln), aber ich verstehe die Beziehung zwischen diesen vier Autorisierungsbegriffen nicht und würde eine Erklärung lieben.

Grundsätzlich bin ich mir nicht sicher, wie das Zugriffstoken oder das Token-Geheimnis generiert wird, wo sie gespeichert werden und in welcher Beziehung sie zueinander oder zum Verbraucherschlüssel und -geheimnis stehen.

Vielen Dank

Startec
quelle
Dies könnte helfen, stackoverflow.com/questions/2740559/…
Prabakar K

Antworten:

76

Verbraucherschlüssel ist der API-Schlüssel, den ein Dienstanbieter (Twitter, Facebook usw.) an einen Verbraucher ausgibt (ein Dienst, der auf die Ressourcen eines Benutzers auf dem Dienstanbieter zugreifen möchte). Dieser Schlüssel identifiziert den Verbraucher.

Das Verbrauchergeheimnis ist das "Kennwort" des Verbrauchers, das zusammen mit dem Verbraucherschlüssel verwendet wird, um von einem Dienstanbieter den Zugriff (dh die Autorisierung) auf die Ressourcen eines Benutzers anzufordern.

Das Zugriffstoken wird vom Dienstanbieter an den Verbraucher ausgegeben, sobald der Verbraucher die Autorisierung abgeschlossen hat. Dieses Token definiert die Zugriffsrechte des Verbrauchers auf die Ressourcen eines bestimmten Benutzers. Jedes Mal, wenn der Verbraucher von diesem Dienstanbieter auf die Benutzerdaten zugreifen möchte, nimmt der Verbraucher das Zugriffstoken in die API-Anforderung an den Dienstanbieter auf.

Hoffe das klärt es auf. Ich würde empfehlen, den Anfang der oAuth 2.0-Spezifikation zu überfliegen . Es ist wirklich informativ.

Hen Sapir
quelle
1
Was ich nicht bekomme, ist, dass in meiner Twitter-App all diese bereits bereitgestellt sind (was bedeutet, dass ich mich nicht bei einem Server authentifizieren musste, um ein Zugriffstoken zu erhalten, da ich das hatte, sobald ich eine App bei Twitter angemeldet habe
Dachten
6
Mit Twitter können Sie ein Zugriffstoken für sich selbst (insbesondere für Ihr Konto) erstellen, damit Sie damit testen können. Für jeden anderen Benutzer, der Ihre App verwendet, kann ein Zugriffstoken (für diesen Benutzer) jedoch erst erworben werden, wenn der Benutzer authentifiziert ist.
Hen Sapir
Wenn Sie versuchen möchten, Informationen vom Twitter-Konto des Benutzers abzurufen, müssen Sie ihn jedes Mal anmelden / authentifizieren lassen? Welche Informationen (Token / Schlüssel) können Sie für zukünftige Anfragen speichern? - Können Sie dasselbe Zugriffstoken / Zugriffsgeheimnis verwenden?
MattOlivos
@ HenSapir, ich bin nicht einverstanden mit Ihrer Beschreibung von "Zugriffstoken Geheimnis". Ich weiß nicht, was es bedeutet, es ist kein Standardbegriff, aber ich weiß, dass es NICHT der Fall ist, dass "das Geheimnis des Zugriffstokens mit dem Zugriffstoken gesendet wird". Es ist nicht. Es wird nur der Zugriffstoken gesendet. Ich vermute, dass jemand "das Geheimnis des Zugriffstokens" geschrieben hat, als er "das Zugriffstoken, das ein Geheimnis ist" meinte
Elroy Flynn
Beachten Sie, dass der Begriff "Verbraucher" alt ist. OAuth-Spezifikationen verwenden den Begriff "Client". Dies ist in Abschnitt 1.1 von tools.ietf.org/html/rfc5849
Elroy Flynn
9

Es gibt zwei Arten der Authentifizierung: Die erste wird als Authentifizierung bezeichnet und verwendet den Verbraucherschlüssel und das Verbrauchergeheimnis, um diesen Client zu identifizieren. Stellen Sie sicher, dass es sich um ein gültiges Konto handelt. Bei der zweiten handelt es sich um eine Autorisierung, bei der der Ressourcenserver feststellen kann, welche Art von Authentifizierung vorliegt Bei Aktionen, für die Sie die Berechtigung haben, mit Daten oder einer von uns als Ressource bezeichneten Aktion auszuführen, werden bei dieser Operation Zugriffstoken und Zugriffstoken-Geheimnisse verwendet.

Weitere Informationen finden Sie in diesen nützlichen Folien von Google:

https://docs.google.com/presentation/d/1KqevSqe6ygWVj4U-wlarKU7-SVR79x-vjpR4gEc4A9Q/edit?pli=1#slide=id.g1697c74a_1_14

jyfar
quelle