Как работают маркеры доступа OAuth для запросов API?

Question

Я создал собственного поставщика OAuth с помощью oauth-plugin .Я хотел бы создать API провайдера, который предоставляет доступ к пользовательским данным, но я не уверен, как правильно построить запрос API.

Я заметил, что несколько стратегий Omniauth, включая Twitter, Linkedin и Vimeo получают доступ к пользовательским данным из их соответствующих API через access_token.get, но эти вызовы API кажутся общими, а не специфичными для конкретногоuser.

Что-то в вызове access_token.get идентифицирует пользователя для API?Если нет, то как пользователь распознается?

Answer 1

В 3-стороннем OAuth токен доступа идентифицирует пользователя и принадлежит ему.

Я написал сообщение в блоге для , используя oauth-plugin с rails для создания поставщика OAuth .

Если вы следуете моему руководству и используете oauthenticate :interactive=>false для защиты своего API, у вас будет доступ к методу current_user, который позволит вам обращаться с пользователем так, как будто он вошел в систему.

Вы можете прочитать формальную спецификацию в http://tools.ietf.org/html/draft-ietf-oauth-v2-23 Раздел 4 связан с аутентификацией и довольно читабелен.