我想了解API Secret和Access Token Secret之间的责任和区别。当我需要保护我的API时,我通常会要求用户首先注册并获取accessToken,并在进行API调用时使用相同的accessToken。
另外,如果您能让我理解基于单个accessToken的当前方法存在什么问题,以及为什么应该优先实现API密钥、API密钥密钥、访问令牌和访问令牌秘钥,那将非常有帮助。
谢谢!
我想了解API Secret和Access Token Secret之间的责任和区别。当我需要保护我的API时,我通常会要求用户首先注册并获取accessToken,并在进行API调用时使用相同的accessToken。
另外,如果您能让我理解基于单个accessToken的当前方法存在什么问题,以及为什么应该优先实现API密钥、API密钥密钥、访问令牌和访问令牌秘钥,那将非常有帮助。
谢谢!
您提到的可能是oAuth 2.0(使用1个访问令牌)。至于Twitter为什么同时拥有AuthToken和AuthTokenSecret,这是因为Twitter使用oAuth 1.0a,它据说至少比oAuth 2.0更安全,并且完全不同。
API密钥和API秘密密钥对于授权您访问Twitter非常重要。Twitter上有两种身份验证方式:
1- 基于应用程序的身份验证
这是一种非常有限的授权方法。您只能像未登录用户一样在Twitter上执行操作,例如查看用户(其帐户未受保护)的时间轴、搜索推文、访问任何帐户的好友和关注者。在此情况下,您不需要访问令牌密钥。
其次,使用基于应用程序的身份验证可以获得用户许可的访问令牌和访问令牌密钥。这称为“用户-应用程序身份验证”
2- 用户-应用程序身份验证
您可以在Twitter上执行用户可以执行的任何操作。发布推文、转发内容、收藏内容、关注和取消关注人员、更改帐户设置以及您能想到的任何事情。这就是您需要它的地方:
API秘密和访问令牌密钥是您需要向Twitter提供的最高机密信息。您需要计算签名以在向Twitter发送请求时进行身份验证。这就是您将同时使用API秘密和访问令牌密钥信息的地方。由于无法在Twitter上执行请求而不进行签名,因此每次需要从Twitter获取某些内容或发布内容时都需要使用它。
关于创建签名的更多信息,请访问此链接:https://dev.twitter.com/docs/auth/creating-signature