如何使用基本身份验证而不是 OAuth 2.0 将 Alexa 用户与 3rd 方应用程序相关联

Posted 2023-04-14

【中文标题】如何使用基本身份验证而不是 OAuth 2.0 将 Alexa 用户与 3rd 方应用程序相关联

【英文标题】：How to link an Alexa user with 3rd party app using basic authentication instead of OAuth 2.0

【发布时间】：2017-11-17 05:28:29

【问题描述】：

我正在创建一个自定义 Alexa Skill，它使用他们的 API 从应用程序获取信息。为了使用该应用程序，您必须有一个帐户。应用程序使用基本身份验证对用户进行身份验证，即用户使用其用户名和密码登录，并且授权服务器提供一个 cookie 以确保用户在使用应用程序时得到身份验证。授权服务器不提供获取访问令牌的 API。

这是一个问题，因为Amazon Alexa documentation on account linking 指定授权服务器必须返回访问令牌，因为此访问令牌唯一标识系统中的用户。为了获得访问令牌，授权服务器需要使用 OAuth（授权码授权或隐式授权）。

重申一下，亚马逊需要一个访问令牌，但这个授权服务器不提供；它只支持基本身份验证。即使亚马逊不直接支持它，有没有办法使用基本身份验证链接帐户？我想以亚马逊希望的方式来处理它。也就是说，我仍然想在 Echo 伴侣应用程序上托管我的技能，并且用户可以通过输入他们的用户名和密码来链接他们的帐户。但是，它不是取回访问令牌，而是取回 cookie，亚马逊可以像存储访问令牌一样存储 cookie。然后，每当用户调用该技能时，可以在 http 请求中使用存储的 cookie。亚马逊本身不支持这一点，所以我想知道如何做到这一点，或者是否有可能。

【参考方案1】：

在阅读 amazon alexa 文档并在 alexa 应用程序上测试帐户链接后，我可以确保您无法绕过现有的建议。正如 alexa 文档中所述，您的第三方应用程序应提供 Oauth2.0 身份验证，提供访问令牌，并且此服务器应通过 https 运行并具有亚马逊可识别的有效认证

【讨论】：

感谢您的回答。你是对的——一位亚马逊开发者也证实了这一点。