Twitter OAuth APIを使用してユーザーを確認する

Question

ユーザーを認証するためにTwitter APIを使い始めるにあたっては、articleが見つかりました。

通常のWebアプリケーションでは、ユーザー名とOAuthトークン/シークレットをデータベースに書き込むことができます。私の混乱は、あなたがその時点からユーザーをどのように扱うかだけです。ログイン後にセッション変数に使用するためにこれらを確認して保存するたびに、それらを毎回twitterに送りますか？または、これは「Twitterアカウントを使って私たちのサイトにログインする」よりも、「あなたのアカウントを持つ関連するTwitterアカウント」ですか？

最後に、私はOAuthのユーザートークンと秘密が期限切れではない（または少なくとも長期間続く）ことを他の場所でも読んでいると思います。ユーザーとしてつぶれる可能性のある不正なアプリケーションの作成を許可しないのでしょうか？私はもちろんそのことは意図していませんが、そうであるようです。

Answer 1

「このウェブサイトのあなたの身元とTwitterを関連付ける」と言えるかもしれません。誰かがTwitterログインで自分自身を認証すると、保存したトークンを引き続き使用して自分のアカウントを読み込んで更新することができます。訪問ごとにTwitter経由でログインし続けるように頼むべきではありません。それはちょうど迷惑です。クッキーを使用して、サイトにアクセスしたときに誰が誰であるかを伝えて、保存されたトークンを取得することができます。

はい、これはアプリをユーザーとしてツイートすることができますが、そうすると、ツイートの下部にあるソースは、どのアプリがツイートを行ったかを示します。ユーザーが承認しなかった場合、そのユーザーはツイートを削除し、そのアプリが自分のアカウントに到達する承認を取り除くことができます。彼らはTwitter.comのTwitterプロファイル設定でこれを行います。これは、アプリにあなたのユーザー名とパスワードを与える従来の方法よりもはるかに優れたモデルです。唯一の選択肢は、すべてのアプリを無効にするあなたのパスワードを変更することでした。