Twitter的api具有仅应用程序身份验证:https : //dev.twitter.com/docs/auth/application-only-auth
Twitter使应用程序能够代表应用程序本身(而不是代表特定用户)发出经过身份验证的请求
我想对Rails中的门卫做同样的事情,但是我不确定该怎么做。似乎只能通过回调URL对用户进行身份验证,但是如何使用应用程序上下文(仅通过使用应用程序ID和应用程序密钥)访问我的API
我的第一个想法是使用应用程序的ID和密码进行密码凭据登录,以获得属于该应用程序的访问令牌。这是一个坏主意吗?从安全角度来看是否安全?我想知道,因为该应用程序的机密已以纯文本格式保存在数据库中,这对于用户身份验证是不可行的。
这绝对是您可以做的事情:您可以在此处的示例中看到它使用client_credentials生成令牌的过程,但没有用户名/密码:
curl -i http://localhost:5100/oauth/token \
-F grant_type="client_credentials" \
-F client_id="your_application_id" \
-F client_secret="your_secret"
由您自己决定是否resource_owner与关联doorkeeper_token。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句