Как Facebook соотносит токен доступа с приложением-потребителем?

Question

Я пытался обернуть голову вокруг создания RESTFul API с использованием Oauth для сценариев аутентификации как с двумя, так и с тремя сторонами. Я прочитал много статей, и в настоящий момент я очень растерялся. Теперь рассмотрим различные реализации API, чтобы лучше понять.

При просмотре реализации потребления Facebook API API; после получения токена доступа. Я заметил следующую структуру URL для запроса ресурса

https://graph.facebook.com/me?access_token={access_token}

Я думал, что app_key и secret_key потребителя также будут переданы в качестве параметра.

Я представляю себе сценарий, в котором 'offline_access' является частью области разрешений. Что делать, если этот токен доступа передается другим приложением. Как Facebook подтверждает, что это правильный потребитель?

Спасибо.

Answer 1

Спецификация OAuth 2 определяет, что токены доступа должны быть уникальными для каждого пользователя для каждого потребителя.Это просто означает, что каждый потребитель получает новый токен доступа.Если бы потребитель 1 имел токен доступа потребителя 2, API подумал бы, что потребитель 2 делает запрос.Все просто.

Конечно, это требует надлежащей защиты токенов доступа.То, как они защищены, в значительной степени выходит за рамки OAuth, хотя в нем определено, что они должны передаваться только через SSL-соединения.Прочитайте актуальную спецификацию.