OAuth 제공 업체가 제공 한 요청 토큰을 사용하고 영원히 사용할 수 있습니까? Delicious api와 상호 작용하고 2 주마다 업데이트 된 북마크를 찾는 서비스를 만들려고합니다. 사용자에게 몇 번이고 인증을 요청하는 대신 동일한 요청 토큰을 사용할 수 있는지 궁금합니다. 내가 그럴 수 없다면, 나는 그 대답이 될 것이라고 생각한다. 그러한 행동을위한 가장 좋은 방법은 무엇일까?OAuth 액세스 토큰을 사용하여 계정에 대한 영구적 인 액세스를 보장 할 수 있습니까?
내 마지막 옵션은 사용자가 자신의 맛있는 사용자 이름과 암호를 포기하고 내 작업을 매우 쉽게 할 수 있다고 생각하는 것입니다.
사실, OAuth 토큰이 특정 시간 후에 만료되어야한다는 논리에 동의합니다. 그러나 OAuth는 제 3 자의 데이터에 액세스하는 보안 메커니즘으로 생각되었으므로 OAuth를보다 합리적인 것으로 만들기위한 몇 가지 수정 사항이 있어야합니다. 제 3 자 통합/집계/부가가치 서비스가 많이 있다는 점을 감안할 때, 개인 계정에 대한 영구적 인 처리를위한 메커니즘이 있어야합니다 (물론 이것은 특정 도메인에서 유효성을 검사 할 수 있습니다 - 응용 프로그램 ID - 서버에 파일 게시). –
... 그런 식으로 사용자는 자신의 데이터를 사용하는 사람을 항상 제어 할 수 있으며 개인 수준이나 도메인 수준에서 차단할 수 있습니다. OAuth 토큰이 만료 될 때마다 사용자에게 자격 증명을 입력하도록 요청하는 것은 사용자 경험 측면에서 정말 고통 스럽습니다. –
요점은 이것이 OAuth의 범위 밖에 있다는 점입니다. 이를 원하면 OAuth 시스템을 제공해야합니다. OAuth는 영구적 인 토큰이 발행되는 것을 막지 않으며 단지 토큰을 요구하지 않습니다. OAuth 및 OpenID는 사용자 에이전트가 관련 될 때 원하는대로 정확하게 사용할 수 있습니다. 예를 들어 처음 로그인 한 후 토큰이 만료 되었더라도 StackOverflow에 대한 자격 증명을 한 번 입력하면됩니다. –