私のサイトでは、ユーザーにOAuth経由の認証機能を提供するつもりです。私は彼らに最初に私に登録してから外部のアカウントに接続するように頼んでいません。私はシングルサインオンを提供したい。OAuthアクセストークンの再利用
私は、アクセストークンを再利用すると考えています。確かにセッションの中で、そしてそれらの間でさえ。
Googleは、アクセストークンの数を10 per user per applicationに制限すると述べています。 (明らかにGoogleはまだOAuth1をサポートしていますが、今Auth2を推奨しています)10はかなり小さい数字です。
クッキー(like this)は、セッション間でユーザーを識別するための良い計画のようですが、ユーザーがCookieを削除したか、新しいコンピュータから接続するシナリオに問題があります。
別のアクセストークンを要求する前に、そのユーザーの存在を知るにはどうすればよいですか?リクエストトークンにはユーザーIDが含まれていません。
おかげ
まず、OauthとOpenId(シングルサインオン認証)の違いを確認してください。http://softwaremaniacs.org/blog/2011/07/14/openid-oauth-difference/en/あなたが言うときユーザーですか?アプリケーションやサードパーティのアプリケーション上のユーザーがサーバーに保存されているユーザーデータにアクセスしようとしていることを意味しますか? – kayfun
私は同意すると、OpenIDはよりフィットするが、Twitterは私の#1ターゲットだからだ。だからOAuthはそうでなければならない。 「シングルサインオン」は、私にとっては悪い言葉でした。 「ユーザー」とは、アプリのユーザーを意味します。 OAuthトリニティのリソース所有者。 –