OAuth訪問令牌如何適用於API請求？

Question

我使用oauth-plugin創建了自定義OAuth提供程序。我想創建一個提供者API來訪問用戶數據，但我不確定如何正確構建API查詢。

我注意到，有幾個Omniauth戰略，包括通過access_token.getTwitter，Linkedin和Vimeo，訪問用戶數據從各自的API，但這些對API的調用似乎是通用的，而不是針對特定的用戶。

在access_token.get調用中是否確定用戶使用API​​？如果不是，用戶如何辨別？

Answer 1

在3腿OAuth中，訪問令牌標識並屬於用戶。

我寫了一篇using oauth-plugin with rails to create an OAuth provider的博客文章。

如果你按照我的教程和使用oauthenticate :interactive=>false保護您的API，那麼你將有機會獲得CURRENT_USER方法，這將使你對待用戶，好像他們已經登錄。

您可以閱讀正式spec在http://tools.ietf.org/html/draft-ietf-oauth-v2-23第4部分與認證相關並且相當可讀。