目標は、ユーザーがTwitter経由でログインし、OAuthトークンとシークレットを(逆認証経由で)取得してサーバーに渡すことができるようにすることです。次に、サーバーはTwitterでトークンの有効性を検証し、新しいユーザーと、アプリが認証された通信に使用する独自のトークンを作成します。
私はこれの後半で苦労しています-安全な方法で初期データを渡します。
目標は、ユーザーがTwitter経由でログインし、OAuthトークンとシークレットを(逆認証経由で)取得してサーバーに渡すことができるようにすることです。次に、サーバーはTwitterでトークンの有効性を検証し、新しいユーザーと、アプリが認証された通信に使用する独自のトークンを作成します。
私はこれの後半で苦労しています-安全な方法で初期データを渡します。
次の方法で初期ログイン認証を解決することになりました:
これ以降の各 API リクエストは、リクエスト時に生成されたユーザー シークレット ハッシュとランダム ソルトを使用して署名されます。ユーザー トークン、署名、およびソルトは、各 API 要求と共に (ヘッダーを介して) 渡されます。
ソケット接続のハンドシェイク承認にも同じロジックが使用されます。