oAuth 实施:当前域重要吗?
Posted
技术标签:
【中文标题】oAuth 实施:当前域重要吗?【英文标题】:oAuth implementation: Does the current domain matter? 【发布时间】:2012-05-11 06:39:37 【问题描述】:我是一名前端开发人员,帮助 UX 团队开发浏览器插件的界面。
该插件基于 html/CSS/JS,需要身份验证。目前我们在线路中有标准的 u/p 字段,但客户想知道是否可以进行社交登录。
由于插件的接口被注入到用户访问的每个页面中,这意味着身份验证请求可以来自网络上的任何地方。
我已经阅读了 oAuth 规范的基础知识,但我找不到答案 - oAuth 不要求请求来自一致的位置似乎很奇怪,但我真的不知道我在做什么正在谈论。
从任何随机域发出 oAuth 请求是否可行?
【问题讨论】:
【参考方案1】:请求来自一致的位置
一个能想出与X的消费者密钥一致的token的人假定为X。有one place求消费者(你的服务)的URL:
oauth_callback: 获得用户授权步骤完成后,服务提供商将用户重定向回的绝对 URL。如果 消费者无法接收回调或回调 URL 已被 通过其他方式建立,参数值必须设置为oob (区分大小写),表示带外配置。
但是重定向发生在客户端。可以为 每个 请求设置此 URL。您甚至不需要浏览器请求:查看 'out of band' (OOB) 内容。
该工作流称为双向 OAuth。
Twitter oAuth callbackUrl - localhost development
而这个麻烦只是为了验证。获得用户访问令牌后,您可以从任何设备代表他执行操作:智能手机、集群中的节点、开发工作站等。 x
【讨论】:
以上是关于oAuth 实施:当前域重要吗?的主要内容,如果未能解决你的问题,请参考以下文章
如何从 django-oauth-toolkit 令牌获取当前登录用户?