什么是访问令牌与访问令牌秘密和消费者密钥与消费者秘密
我使用Oauth已经有一段时间了,但从来没有完全确定这四个术语之间的区别(以及每个术语的功能)。我经常看到(例如在Twitter公共API中)
消费者密钥:
消费者秘密:
访问令牌:
和
访问令牌秘密:
但我从来都不知道他们到底在干什么。我知道Oauth有能力授权应用程序(让它们代表用户行事),但我不理解这四个授权条款之间的关系,希望得到解释。
基本上,我不确定访问令牌或令牌密钥是如何生成的,它们存储在哪里,以及它们之间或与使用者密钥和密钥之间的关系。
非常感谢。
共有2个答案
有两种类型的身份验证,第一种称为身份验证,它使用使用者密钥和使用者机密来标识此客户端并确保其为有效帐户,第二种称为授权,它允许资源服务器识别您有权对数据执行哪种操作或我们称之为资源的操作,此操作使用访问令牌和访问令牌机密。
有关更多详细信息,请查看谷歌提供的以下有用幻灯片:
https://docs.google.com/presentation/d/1KqevSqe6ygWVj4U-wlarKU7-SVR79x-vjpR4gEc4A9Q/edit?pli=1#slide=id.g1697c74a_1_14
消费者密钥是服务提供商(Twitter、Facebook等)向消费者(希望访问服务提供商上用户资源的服务)发布的API密钥。此键用于识别消费者。
消费者密码是消费者“密码”,与消费者密钥一起用于从服务提供商请求访问(即授权)用户资源。
访问令牌是服务提供商在使用者完成授权后向使用者颁发的令牌。此令牌定义使用者对特定用户资源的访问权限。每次使用者希望从该服务提供商访问用户的数据时,使用者都会在对服务提供商的API请求中包含访问令牌。
希望这能把事情弄清楚。我建议浏览一下OAuth2.0规范的开头部分。它提供了很多信息。
-
因此,我尝试在浏览器上使用oauth使用者密钥、密钥、访问令牌和令牌密钥对rest客户端进行API调用,其工作正常,如下所示。 请告知如何在Java中实现这一点? http://imgur.com/AtYVLH5 所有oauth都显示了整个过程,但在第一次保存密钥和令牌后,如何进行API调用是个问题。 提前感谢
-
我遇到了很多文章,很多文章建议使用OAuth over API密钥。据我所知,在OAuth中,我们最终获得了访问令牌,它的有效期为很多天。例如,QuickBooks online OAuth令牌的有效期为6个月。 因此,访问令牌等同于API Key。无论谁得到它,都应该像API密钥一样保护它。OAuth调用应该通过HTTPS进行,类似于基于API Key的调用。 相对于OAuth的另一个优势是授权
-
使用KeyCloak时,访问令牌与用户信息令牌有何不同? 从OAuth2/OpenIDConnect中,我了解到访问令牌提供了用户已经通过身份验证的信息,您需要使用用户信息令牌来获取关于用户及其配置文件/角色等的更多信息。 当我看到访问令牌时https://jwt.io/而不是用户信息令牌。我能够获得与用户配置文件相同的信息 为什么会这样,使用Keycloak时访问令牌与用户信息令牌有何不同?
-
我正在使用Lusita的PHP Oauth库(https://github.com/Lusitanian/PHPoAuthLib)。 在用户在我的应用程序中获得授权后,我收到了访问令牌和访问令牌密钥的值。现在有了这些值,我想对API进行身份验证调用。如何使用Access Token、Access Token Secret以及Consumer Key和Consumer Secret的值进行调用?我不
-
我正在使用Haughin的Twitter Codeigniter API使用twitter登录。现在我需要能够代表用户发布推文。问题是,我首先需要找到并获取用户的访问令牌和用户的秘密,并将它们存储在我的数据库中以备后用。一旦我连接到twitter,我在哪里找到这些? 谢谢
-
问题内容: 我正在使用Apache Oltu框架实现OAuth 2.0提供程序服务器,以寻找有关如何在Java中生成访问令牌和秘密令牌的想法。请指教。 问题答案: OAuth 2.0 规范并未说明如何生成令牌和秘密令牌。因此,由您决定是使用一些现有的/锚定数据来生成令牌,还是要使用随机序列来生成令牌。唯一的区别是,如果您使用大概已知的数据(例如,用户数据,例如用户名,创建日期等),则可以在需要时随