Ich benutze Oauth schon eine Weile, war mir jedoch des Unterschieds zwischen diesen vier Begriffen (und der Funktionalität der einzelnen Begriffe) nie ganz sicher. Ich sehe häufig (zum Beispiel in der öffentlichen Twitter-API)
Consumer key:
Consumer secret:
Access token:
und
Access token secret:
Feld, aber ich habe nie genau gewusst, was sie tun. Ich weiß, dass Oauth Apps autorisieren kann (lassen Sie sie im Namen eines Benutzers handeln), aber ich verstehe die Beziehung zwischen diesen vier Autorisierungsbegriffen nicht und würde eine Erklärung lieben.
Grundsätzlich bin ich mir nicht sicher, wie das Zugriffstoken oder das Token-Geheimnis generiert wird, wo sie gespeichert werden und in welcher Beziehung sie zueinander oder zum Verbraucherschlüssel und -geheimnis stehen.
Vielen Dank
Antworten:
Verbraucherschlüssel ist der API-Schlüssel, den ein Dienstanbieter (Twitter, Facebook usw.) an einen Verbraucher ausgibt (ein Dienst, der auf die Ressourcen eines Benutzers auf dem Dienstanbieter zugreifen möchte). Dieser Schlüssel identifiziert den Verbraucher.
Das Verbrauchergeheimnis ist das "Kennwort" des Verbrauchers, das zusammen mit dem Verbraucherschlüssel verwendet wird, um von einem Dienstanbieter den Zugriff (dh die Autorisierung) auf die Ressourcen eines Benutzers anzufordern.
Das Zugriffstoken wird vom Dienstanbieter an den Verbraucher ausgegeben, sobald der Verbraucher die Autorisierung abgeschlossen hat. Dieses Token definiert die Zugriffsrechte des Verbrauchers auf die Ressourcen eines bestimmten Benutzers. Jedes Mal, wenn der Verbraucher von diesem Dienstanbieter auf die Benutzerdaten zugreifen möchte, nimmt der Verbraucher das Zugriffstoken in die API-Anforderung an den Dienstanbieter auf.
Hoffe das klärt es auf. Ich würde empfehlen, den Anfang der oAuth 2.0-Spezifikation zu überfliegen . Es ist wirklich informativ.
quelle
Es gibt zwei Arten der Authentifizierung: Die erste wird als Authentifizierung bezeichnet und verwendet den Verbraucherschlüssel und das Verbrauchergeheimnis, um diesen Client zu identifizieren. Stellen Sie sicher, dass es sich um ein gültiges Konto handelt. Bei der zweiten handelt es sich um eine Autorisierung, bei der der Ressourcenserver feststellen kann, welche Art von Authentifizierung vorliegt Bei Aktionen, für die Sie die Berechtigung haben, mit Daten oder einer von uns als Ressource bezeichneten Aktion auszuführen, werden bei dieser Operation Zugriffstoken und Zugriffstoken-Geheimnisse verwendet.
Weitere Informationen finden Sie in diesen nützlichen Folien von Google:
https://docs.google.com/presentation/d/1KqevSqe6ygWVj4U-wlarKU7-SVR79x-vjpR4gEc4A9Q/edit?pli=1#slide=id.g1697c74a_1_14
quelle