1

Twitter 对其 api 进行了仅限应用程序的身份验证:https ://dev.twitter.com/docs/auth/application-only-auth

Twitter 为应用程序提供了代表应用程序本身(而不是代表特定用户)发出经过身份验证的请求的能力

我想对 Rails 中的门卫做同样的事情,但我不知道该怎么做。似乎只能通过回调 url 对用户进行身份验证,但是如何使用应用程序上下文访问我的 API(仅通过使用应用程序 ID 和应用程序密钥)

我的第一个想法是使用应用程序的 ID 和密码进行密码凭据登录,以获得属于应用程序的访问令牌。这是一个坏主意吗?从安全的角度来看,它安全吗?我想知道,因为应用程序的秘密在数据库中保存为纯文本,这对于用户身份验证来说是不行的。

4

1 回答 1

5

这是您绝对可以做的事情:您可以在此处的示例中看到它使用 client_credentials 生成令牌,但没有用户名/密码:

curl -i http://localhost:5100/oauth/token \
-F grant_type="client_credentials" \
-F client_id="your_application_id" \
-F client_secret="your_secret"

由您决定是否有resource_owner关联到您的doorkeeper_token.

于 2014-08-13T02:11:57.400 回答