我正在開發一個關於OAuth的Twitter應用程序,我希望能夠在將來發布更新。未來可以使用OAuth安排Twitter狀態更新嗎?
基本計劃是每小時運行一次腳本並查找需要發佈的任何更新,然後驗證相應的用戶並使用狀態/更新API調用。
但是,我不知道如何使用OAuth。我顯然不想存儲他們的用戶名和密碼 - 這首先打敗了使用OAuth的對象。
但是,如果這是唯一的選擇,那麼我怎麼能不存儲他們的密碼的明文副本,但仍然認證他們?
使用OAuth,您最初只需要用戶憑證即可獲取oauth標記。獲得oauth標記後,使用oauth標記代替這些憑據。在OAuth後面的調用中唯一的問題是與服務端的令牌關聯的任何TTL(生存時間)。 Twitter does not apparently expire tokens,所以一旦你有一個有效的令牌,你應該能夠代表用戶繼續撥打電話。 (1)在運行應用程序的初始階段,或(2)如果用戶的會話由於某種原因變爲無效(更改密碼,用戶指示的會話失效,等等。)。
查看OAuth spec瞭解更多詳情。
請注意,如果您打算在您的應用程序的調用之間使用相同的用戶令牌,則應該準備加密該令牌並將其安全地存儲。如果有人捕捉到您的消費者密鑰和祕密以及用戶令牌,則用戶的身份可能會受到影響。