问题标签 [oauth-2.0]

我已经环顾了一段时间，我对这个项目并不熟悉，而且它现在似乎有点不稳定，我想知道是否有人知道真正发生了什么以及推荐的方法是什么此时挂钩到项目中。例如，Amber 中不应该有与 Leeloo 0.1 一致的特定标签吗？

不记名令牌规范是我有疑问的。我试图弄清楚放置在Authorization: OAuth ......标头中时令牌中允许哪些字符。这是规范所说的

凭据 = "OAuth2" RWS 访问令牌 [RWS 1#auth-param]
访问令牌 = 1*(quoted-char / <">)

引用字符=“！” /“#”/“$”/“%”/“&”/“'”/“(”/“)”/“*”/“+”/“-”/“.” / "/" / DIGIT / ":" / "<" / "=" / ">" / "?" /“@”/ALPHA/“[”/“]”/“^”/“_”/“`”/“{”/“|” /“}”/“~”/“”/“”/“;”

我不知道怎么读这个。我是阅读 RFC 的新手，所以如果有人能解释一下，我将不胜感激。

我正在尝试在 android 和 wp7 手机应用程序中使用 google oauth2.0 api。我的问题是谷歌在注册应用程序时给出的“客户秘密”是否在代码中硬编码（源代码将被混淆）？（或）我应该创建一个包含客户端机密并相应授权的网页吗？

我想允许用户使用他们的 facebook 帐户连接到我的网站。
首先，用户授权我的应用程序，然后我得到一个访问令牌。问题是，我应该第一次注册用户，下一次根据他的 Facebook 电子邮件自动登录他。

如何创建一种安全的方式来自动登录用户？我使用的是纯 javascript，但我找不到任何方法来创建安全机制。

谢谢。

我正试图在我用 Django 制作的网站上获取我的 Twitter 时间线。为此，我在http://www.pixeldonor.com/blog/2010/aug/15/create-simple-twitter-app-django/上找到了一段很好的代码，我在本地开发副本中实现了它的网站。本地一切正常！显示了推文，我没有收到任何错误。

现在我已经在线部署了我的网站，我似乎遇到了一个我无法解决的错误。

这是我得到的错误：

之后，它显示以下内容：

模板错误

在模板 /home/mstrijker/webapps/django/vorm4ufolio/templates/index.html 中，第 85 行出错

渲染时捕获 TypeError：必须是字符串或缓冲区，而不是无

{% get_tweet_list 5 as tweets %}是第 85 行

这里也是错误的回溯：

我希望这将为你们提供帮助我解决此问题所需的必要信息。如果你们需要更多信息或代码，请问我，我会提供。

我已经成功使用 Facebook Graph API（使用 oauth 2.0 进行身份验证）有一段时间了。我现在需要编写自己的 API，允许开发人员以类似的方式连接到它。我已经查看了各种库，但我想要一些更精简的东西，所以我决定自己动手。查看我必须在 facebook 上验证用户的代码，它看起来相对简单，但如果我偏离轨道，请纠正我。

首先，我需要提供消费者需要重定向到的安全页面。例如https://api.mydomain.com/oauth/authorize?client_id=CONSUMER_KEY&redirect_url=CALLBACK_URL。用户将验证应用程序，然后我将使用查询字符串中的 oauth_token 重定向回回调 url 中提供的 url。我想我可以在这里为 oauth_token 生成一个随机的唯一字符串，并将它存储在这个特定消费者的用户中（编辑：请参阅下面的答案，这对于每个消费者应用程序而不是用户来说应该是唯一的）。

这是第一步。我现在需要提供第二个安全页面，消费者将触发 Web 请求。例如https://api.mydomain.com/oauth/access_token?client_id=CONSUMER_KEY&client_secret=CONSUMER_SECRET&oauth_token=OAUTH_TOKEN_RETURNED_ABOVE。这将允许消费者将上面返回的 oauth_token 交换为访问令牌。我将再次简单地生成一个随机的唯一字符串并将其存储在该特定消费者的用户中。

现在我的 API 将接受 access_token 用于尝试获取特定于使用它的用户的信息的方法。

我想知道我是否理解正确。如果是这样的话，OAuth 2.0 规范似乎极其微不足道。另外，为什么我们必须用 access_token 交换 oauth_token？我有自己的想法，但如果有人能帮助澄清这一点，我将不胜感激。

我非常感谢您的反馈，因为我不希望在完全错误的情况下继续浪费时间来实现这一点。

谢谢

我计划访问 Google 的 API 并使用 OAuth2 进行身份验证。因为我要从 Silverlight 浏览器外应用程序访问它们，所以我想知道如何保证它足够安全。

我知道保留在客户端进行身份验证所需的所有细节有点冒险。我的意思是client_id、client_secret等，因为它们很容易被其他人获得。所以我想知道人们是如何解决这个问题的？在进行身份验证时，您会使用网络服务来最初联系 Google 吗？如果是这样，我如何帮助确保安全，以便只有我的 Silverlight 客户端可以访问它？

我正在构建一个使用 OAuth2 的 api。我已经成功地对所有单独的部分进行了单元测试，但现在我需要进行一些集成测试。基本上我希望能够检查来自服务器的 http 响应，以确保一切正常。理想情况下，我希望能够在 Visual Studio 中启动 Web 开发服务器来托管网站，然后向它发出一堆请求并检查结果。

这样做的最佳方法是什么，我应该使用什么工具？

Google App Engine 提供的 OAuth 端点（例如https://app-id.appspot.com/_ah/OAuthGetRequestToken）是否支持 OAuth 2？

用户连接 Facebook后，Facebook 会以access_token.

我可以假设这access_token将始终保持不变并且对每个用户都是独一无二的吗？

如果是这样，那么我可以使用它在我的数据库中查找用户，如果找不到，则创建一个新用户。

如果没有，有没有办法让 Facebook 在连接后立即将您送回user_id（带有access_token），这样我就不必再次请求/me?fields=id它？