我正在构建REST API。 对于注册用户,他需要在Twitter上进行身份验证。
通常,我会使用OAuth2服务器提供的授权代码,但似乎Twitter没有实现此类授权。 我不希望我的移动应用程序将Twitter令牌发送到API以注册用户。我认为这是一个安全漏洞。
我检查了OAuth echo(https://dev.twitter.com/oauth/echo),这似乎没问题。用户将凭据传递给我的API,我的API会根据twitter API检查用户。 Twitter然后返回一个用户对象。它虽然没有返回访问令牌。
这是唯一的方法吗? 谢谢你的帮助。
答案 0 :(得分:0)
是的,你是对的。使用OAuth Echo将您作为该个人的第三方,而不会泄露您的访问令牌/密钥和凭据。
请注意,当您通过该路线时,您与Twitter的API不同rate limit。在某些情况下,它会增加限制,而在其他情况下会减少。