Понимание oAuth неявного потока - PullRequest
0 голосов
/ 18 сентября 2018

Я работаю с New Twitch API и хочу получить данные и конечную точку с помощью javascript.

Конечная точка https://dev.twitch.tv/docs/api/reference/#get-streams

Что касается средств тестирования, я попал в конечную точку с помощью Почтальона, и она работает.

Согласно документации, мне нужно предоставить client-id, которую я могу получить на панели инструментов разработчика, и я добавляю это в качестве заголовка в Postman.

Что меня смущает, так это то, что кажется, что у вас есть кто-то client-id (который будет разоблачен при использовании JS) Кто-нибудь может поразить эту конечную точку? Что мешает кому-то взять мою client-id или меня, кто-то другой, и использовать ее для своих / моих собственных целей, и каковы риски с этим?

1 Ответ

0 голосов
/ 21 сентября 2018

В общем, это Redirection URL, это стержень.

Поток работает следующим образом:

  1. Вы регистрируете свое приложение на Twitch.В рамках этого шага вы указываете свой redirection URL (https://dev.twitch.tv/docs/authentication/#registration)
  2. ). Пользователь посещает веб-страницу, которая использует API
  3. . Пользователь должен пройти аутентификацию. Руки веб-страницына страницу аутентификации Twitch OAUTH, передавая Client ID
  4. . Пользователь аутентифицируется с помощью Twitch
  5. Twitch перенаправляет пользователя на Redirection URL, настроенный на шаге 1, вместе сBearer Token.

Как видно на шаге 5, токен отправляется обратно на ваш Redirection URL., если другой веб-сайт попытался аутентифицировать пользователя с помощью вашего Client ID они никогда не получат обратно токен.

Область, в которой, я думаю, вы можете столкнуться с проблемами, ограничивает скорость. Twitch ограничивает вас 30 запросами в минуту с Client ID и без Bearer Token или 120 запросов.в минуту с обоими. Если злонамеренный пользователь использует ваш идентификатор клиента, он будет съедать ваш предел скорости. https://dev.twitch.tv/docs/api/guide/

...