使用 facebook/google 进行身份验证后,第三方网站上会发生什么
After authentication with facebook/google what happens on third party website
我的理解是,
- 第三方网站上的用户点击使用 facebook/google 登录。
- 用户重定向到 facebook/google,他在那里输入他的凭据,第三方网站的服务器获取访问令牌并使用此令牌获取用户信息。
3.After 上面这一步,第三方网站是否有自己的授权服务器并生成access token供用户访问自己的资源,还是每次请求都可以使用facebook/google生成的access token?
我猜 facebook/google 生成的访问令牌只能用于从 facebook/google 获取一些用户信息(或仅用于身份验证)。对于属于第三方网站的资源,他们应该实施自己的安全机制。
你猜对了。使用 Facebook/Google OAuth,第三方只能验证用户是否成功登录到 his/her Facebook/Google 帐户。第三方可以检查登录是否成功,例如通过使用 returned 访问令牌向 Facebook/Google API 发出请求并查看请求是否成功。如果该请求成功,则第三方网站可以 return 其自己的 API 为其自己的资源生成的访问令牌 API。
我的理解是,
- 第三方网站上的用户点击使用 facebook/google 登录。
- 用户重定向到 facebook/google,他在那里输入他的凭据,第三方网站的服务器获取访问令牌并使用此令牌获取用户信息。 3.After 上面这一步,第三方网站是否有自己的授权服务器并生成access token供用户访问自己的资源,还是每次请求都可以使用facebook/google生成的access token?
我猜 facebook/google 生成的访问令牌只能用于从 facebook/google 获取一些用户信息(或仅用于身份验证)。对于属于第三方网站的资源,他们应该实施自己的安全机制。
你猜对了。使用 Facebook/Google OAuth,第三方只能验证用户是否成功登录到 his/her Facebook/Google 帐户。第三方可以检查登录是否成功,例如通过使用 returned 访问令牌向 Facebook/Google API 发出请求并查看请求是否成功。如果该请求成功,则第三方网站可以 return 其自己的 API 为其自己的资源生成的访问令牌 API。