使用Twitter OAuth API驗證用戶

Question

我發現很棒的article開始使用Twitter API對用戶進行身份驗證。

我看到，在正常的Web應用程序中，您可以將用戶名和OAuth令牌/祕密寫入數據庫。我的困惑源於你從那時起如何處理用戶。您是否每次都將它們發送給Twitter以驗證並在登錄後將它們存儲在會話變量中？或者，這更像是一個「與你的賬戶相關聯的twitter」，而不是「通過twitter登錄到我們的網站」？

最後，我相信我在其他地方看到OAuth用戶令牌和密碼未過期（或至少長期持續）。這不會允許創建可以作爲用戶推特的流氓應用嗎？當然，我不打算這樣做，但事實確實如此。

Answer 1

我想你可以稱它爲「在本網站上將Twitter與你的身份相關聯」。一旦有人通過Twitter登錄認證自己，您可以繼續使用其存儲的令牌來閱讀和更新其帳戶。您不應該要求他們在每次訪問時通過Twitter繼續登錄。這只是煩人的。你會使用一個cookie來告訴你他們訪問你的網站時他們是誰，這樣你就可以得到他們存儲的令牌。

是的，這確實允許應用程序以用戶的身份發佈推文，但是當他們這樣做時，推文底部的來源會顯示哪些應用程序發佈了推文。如果用戶不批准，他們可以刪除推文並取消他們對該應用程序的批准以訪問其帳戶。他們在Twitter.com上的Twitter個人資料設置中執行此操作。這是一種比給予應用程序用戶名和密碼的舊方式更好的模型。唯一的選擇是改變你的密碼，這將使所有的應用程序無效。