Проверка пользователей с помощью Twitter OAuth API

Question

Я нашел отличную статью о начале использования Twitter API для аутентификации пользователей.

Я вижу, что в обычном веб-приложении вы пишете имя пользователя и OAuth-токен / секретв базу данных.Моя путаница просто связана с тем, как вы ведете себя с пользователями с этого момента.Вы просто отправляете их в твиттер каждый раз, чтобы проверить и сохранить их для использования в переменной сеанса после входа в систему?Или это скорее «связать твиттер с вашей учетной записью», чем «войти на наш сайт через твиттер»?

Наконец, я считаю, что в другом месте читал, что токен пользователя OAuth и его секретистекающий (или, по крайней мере, длительный).Разве это не позволило бы создать мошеннические приложения, которые могут твитовать как пользователь?Конечно, я не собираюсь этого делать, но похоже, что так оно и есть.

Answer 1

Полагаю, вы могли бы назвать это «ассоциировать Twitter с вашей личностью на этом сайте».Как только кто-то аутентифицирует себя с помощью логина в Твиттере, вы можете продолжать использовать свои сохраненные токены для чтения и обновления своей учетной записи.Вы не должны просить их входить в систему через Twitter при каждом посещении.Это просто раздражает.Вы будете использовать куки, чтобы сообщить вам, кто они, когда они посещают ваш сайт, чтобы вы могли получить их сохраненные токены.

Да, это позволяет приложениям твитить как пользователь, но когда они это делают, источник внизу твитов показывает, какое приложение создало твит.Если пользователь не одобряет, он может удалить твит и удалить свое одобрение для этого приложения, чтобы получить доступ к своей учетной записи.Они делают это в настройках своего профиля в Twitter на Twitter.com.Это гораздо лучшая модель, чем старый способ присвоения приложению вашего имени пользователя и пароля.Тогда единственным вариантом было изменить свой пароль, что сделало бы недействительными все ваши приложения.