フェイスブックと消費アプリケーションとのアクセストークンはどのように一致しますか

Question

2足と3足の認証シナリオでOauthを使用してRESTFul APIを作成することに取り組んでいます。私は多くの記事を読んでいて、今は非常に混乱しています。より良い理解を得るために様々なAPI実装を見ていきましょう。

FacebookのAPIサービス消費の実装を見ている間、アクセストークンを取得した後私は

https://graph.facebook.com/me?access_token= {access_tokenは}

私はapp_keyを考えていたし、消費者のsecret_keyには、パラメータとして渡されされるリソース要求に対して、以下のURL構造に気づきました。

「offline_access」がパーミッションスコープの一部であるシナリオを想像しています。このアクセストークンが別のアプリケーションに渡された場合はどうなりますか？ facebookはそれが正しい消費者であることをどのように検証しますか？

ありがとうございます。

Answer 1

OAuth 2仕様では、アクセストークンは、各コンシューマのユーザーごとに一意である必要があることを定義しています。これは単にすべての消費者が新しいアクセストークンを取得することを意味します。コンシューマ1がコンシューマ2のアクセストークンを持っていた場合、APIはコンシューマ2がリクエストを行っていると考えます。そのような単純な。

もちろん、これはアクセストークンの適切なセキュリティを要求します。それらがどのように保護されているかは、OAuthの範囲をはるかに超えていますが、SSL接続でのみ渡す必要があることを定義しています。

Don't read articles. Read the actual specification.