J'utilise Oauth depuis un moment, mais je n'ai jamais été tout à fait sûr de la différence entre ces quatre termes (et la fonctionnalité de chacun). Je vois souvent (par exemple dans l'API publique de Twitter)
Consumer key:
Consumer secret:
Access token:
et
Access token secret:
mais je n'ai jamais su exactement ce qu'ils font. Je sais que Oauth a la capacité d'autoriser les applications (laissez-les agir au nom d'un utilisateur) mais je ne comprends pas la relation entre ces quatre conditions d'autorisation et j'aimerais une explication.
Fondamentalement, je ne suis pas sûr de savoir comment le jeton d'accès ou le secret de jeton est généré, où ils sont stockés et quelle relation ils ont l'un avec l'autre ou avec la clé de consommateur et le secret.
Merci
La clé de consommateur est essentiellement la clé d'API associée à l'application (Twitter, Facebook, etc.). Cette clé (ou "ID client", comme l'appelle Facebook) est ce qui identifie le client. À propos, un client est un site Web/service qui tente d'accéder aux ressources d'un utilisateur final.
Consommateur secret est le mot de passe du client utilisé pour s'authentifier auprès du serveur d'authentification, à savoir Twitter/Facebook/etc. serveur qui authentifie le client.
Le jeton d'accès est ce qui est envoyé au client une fois que ce dernier s'est authentifié avec succès (à l'aide de la clé de consommateur et du secret). Ce jeton d'accès définit les privilèges du client (les données auxquelles le client peut et ne peut pas accéder). Désormais, chaque fois que le client souhaite accéder aux données de l'utilisateur final, le secret de jeton d'accès est envoyé avec le jeton d'accès sous forme de mot de passe (similaire au consommateur. secret).
J'espère que ça s'éclaircit. Je recommanderais de parcourir le début du oAuth 2.0 spec . C'est vraiment informatif.
Il existe deux types d'authentification, le premier s'appelle authentification, qui utilise la clé de consommateur et le secret du consommateur pour identifier ce client et assurez-vous qu'il s'agit d'un compte valide. Le second, appelé autorisation, permet au serveur de ressources d'identifier quel type. Pour les actions que vous avez l'autorisation de faire avec des données ou avec ce que nous appelons une ressource, cette opération utilise un jeton d'accès et un jeton secret.
Pour plus de détails, jetez un coup d'œil à ces diapositives utiles de Google: