Google リクエスト トークン メカニズムを使用/理解しようとしています。OpenSocial API を使用して orkut データにアクセスするために開発を開始したアプリケーションに使用する予定です。
インストール済みアプリケーションのトークンを取得する手順を説明しているこのドキュメントを読みました。このドキュメントでは、Google OAuth API から OAuthGetRequestToken メソッドを使用してリクエスト トークンを取得する方法について説明します。この機能のマニュアルへのアクセス (ここで入手可能)。しかし、必須のパラメーター oauth_consumer_key は、「サードパーティ Web アプリケーションを識別するドメイン」を要求しますが、ドメインを持っていません。これはインストール済みのアプリケーションです。
だから私の質問は、その場合、このパラメーターに何を入れるべきですか?
テストを実行するためにoauth_playgroundを使用しています。
どうも
ドキュメントで読んだことから、リクエストトークンを取得するための次の手順は、コンシューマーキーとして単に「匿名」を渡すことを意味します...
「1. インストールされたアプリケーションが Google 認証サービスに接続し、1 つ以上の Google サービスのリクエスト トークンを要求します。リクエストは、「匿名の」コンシューマー キー/シークレットを使用して署名されます。」( OAuthForInstalledApps )
秘訣は、ハイブリッド認証プロセスを作成することです。所有するドメインで Web アプリを登録し、OAuth for Web Apps プロセスを介して Web アプリのユーザーを承認し、インストールされたアプリが Web アプリからその承認を取得できるメカニズムを実装します。
これについての私の考えは、インストールされたアプリがサイトにキーペアのリクエストを送信するということです。開始キーと認証キーを受け取ります。これらは両方とも、一度だけ使用するために Web サイトのデータベースに保存します。
次に、アプリは何らかのメカニズムを使用して外部ブラウザーを起動し、yourdomain.com/authorizestart.php?initiate=[コードの開始] を指定します。サイトはコードをセッション変数に保存し、認証のためにユーザーを Google に送信します。認証が成功し、Google が次のトークンを使用してユーザーを送り返すと、開始キーに関連するデータベース エントリにそれを保存します。
ユーザーがブラウザーを閉じ、アプリの「完了」ボタンをクリックすると、アプリはリクエストを yourdomain.com/tokenretrieve.php?authorize=[認証キー] に送信します。
サイトが Google トークンを検索して返信すると、アプリは Oauth プロセスを完了します。
これに関する問題は、登録プロセスで作成した「コンシューマー シークレット」をアプリと共有する必要があることです。誰かがそれを逆コンパイルするか、その出力をキャプチャしようとして、Google サーバーからの応答を暗号化する方法の一部である秘密鍵を発見する可能性があります。とはいえ、消費者の秘密として「匿名」を使用するよりも悪いことは何ですか?