Twitter API を使用してユーザーを認証する方法についてのすばらしい記事を見つけました。
通常の Web アプリでは、ユーザーの名前と OAuth トークン/シークレットをデータベースに書き込むことがわかります。私の混乱は、その時点からユーザーをどのように扱うかに起因しています。ログイン後にセッション変数で使用するためにこれらを確認して保存するために、毎回それらをtwitterに送信するだけですか? それとも、これは「Twitter 経由で私たちのサイトにログインする」というよりも、「あなたのアカウントに twitter を関連付ける」という意味ですか?
最後に、OAuth ユーザー トークンとシークレットは有効期限が切れていない (または少なくとも長持ちする) ことを他の場所で読んだと思います。これでは、ユーザーとしてツイートできる不正なアプリの作成が可能になるのではないでしょうか? もちろんそんなつもりはありませんが、どうやらそのようです。
「この Web サイトで、Twitter を自分のアイデンティティに関連付ける」と呼んでもいいのではないでしょうか。誰かが Twitter ログインで自分自身を認証したら、保存されたトークンを引き続き使用して、アカウントの読み取りと更新を行うことができます。訪問のたびに Twitter からログインし続けるよう依頼するべきではありません。それはただ迷惑です。Cookie を使用して、サイトにアクセスしたときにその人が誰であるかを教えて、保存されているトークンを取得できるようにします。
はい、これによりアプリはユーザーとしてツイートできますが、そうすると、ツイートの下部にあるソースにどのアプリがツイートしたかが表示されます。ユーザーが承認しない場合は、ツイートを削除し、そのアプリが自分のアカウントにアクセスするための承認を取り消すことができます。これは、Twitter.com の Twitter プロファイル設定で行います。これは、アプリにユーザー名とパスワードを与える古い方法よりもはるかに優れたモデルです。唯一のオプションは、パスワードを変更することでした。これにより、すべてのアプリが無効になります.