oauth 2 провайдера - необходимо иметь ключ API и идентификатор приложения для клиентов?

Question

Я внедряю поставщика OAuth 2, и мне интересно, нужно ли генерировать и ключ API, и идентификатор клиента для клиентов, когда они регистрируют приложение у моего поставщика.

Из рассмотрения поставщиков OAuth 1.0aподобно Google и Twitter, у них есть только один ключ для клиентов, но Facebook (OAuth 2) имеет и ключ API, и идентификатор приложения, но использует идентификатор приложения в качестве параметра «client_id» в своем танце OAuth 2.

Я почти уверен, что ни в спецификации OAuth 1.0a, ни в OAuth 2 не указано более одного ключа для клиента.

Я не уверен, в каком контексте провайдеру нужно будет сгенерировать оба для клиентского приложения.

Answer 1

Могу поспорить, что Google и Twitter также используют идентификаторы приложений в своих записях в базе данных для каждого приложения.В твиттере, когда вы управляете своими приложениями OAuth, вы переходите на http://dev.twitter.com/apps/1234, где 1234 - это идентификатор приложения.

Просто в Facebook они начали использовать "приложения" раньшеOAuth и они используют идентификатор приложения для приложений, чтобы идентифицировать себя в запросах с самого начала.Вероятно, это всего лишь какое-то решение, принятое их разработчиками для уменьшения сложности с их стороны.

В заключение, идентификатор приложения - это просто способ отслеживания приложений, поэтому вопрос в том, как вы будете?

Просто отметьте, что когда приложение взломано, должна быть опция для сброса ключа и / или секретного ключа.