目標は、ユーザーがTwitter経由でログインし、OAuthトークンとシークレットを(逆認証経由で)取得してサーバーに渡すことができるようにすることです。次に、サーバーはTwitterでトークンの有効性を検証し、新しいユーザーと、アプリが認証された通信に使用する独自のトークンを作成します。
私はこれの後半で苦労しています-安全な方法で初期データを渡します。
質問する
584 次
1 に答える
0
次の方法で初期ログイン認証を解決することになりました:
- ユーザーは、アプリ (モバイル デバイス) を介して Facebook または Twitter 経由でログインします。
- アプリがデバイス ID、OAuth データをサーバーに渡す
- サーバーは、上記のデータに基づいて新しいユーザーを作成します (または、デバイス ID を主キーとして使用して現在のユーザーを更新します)。
- サーバーはユーザー トークンとユーザー シークレット ハッシュを作成 (または更新) し、それらをアプリに返します。
- アプリはトークン/シークレット ハッシュを保存します
これ以降の各 API リクエストは、リクエスト時に生成されたユーザー シークレット ハッシュとランダム ソルトを使用して署名されます。ユーザー トークン、署名、およびソルトは、各 API 要求と共に (ヘッダーを介して) 渡されます。
ソケット接続のハンドシェイク承認にも同じロジックが使用されます。
于 2012-07-03T12:21:43.197 に答える