Actions on google 向需要身份验证的第三方发出API请求_Actions On Google

Actions on google 向需要身份验证的第三方发出API请求

actions-on-google

Actions on google 向需要身份验证的第三方发出API请求,actions-on-google,Actions On Google,这是我的设想。想象一下，有一个瑜伽工作室使用一个专业的预订和预订系统，该系统公开了一个API。通过此API，应用程序可以为客户端进行预订。API使用客户端的用户ID和密码进行预订。预订API不使用OAuth或任何社交媒体登录我的愿望是创建一个助手操作来检索类列表，并允许客户进行预订我的难题是，为了提供预订API所需的用户ID/密码对，应该采用什么样的设计/体系结构其他人是如何解决这个难题的我是否应该将用户ID/密码存储为与操作关联的“用户状态”？首先，您应该与API提供商进行对话，了解他

这是我的设想。想象一下，有一个瑜伽工作室使用一个专业的预订和预订系统，该系统公开了一个API。通过此API，应用程序可以为客户端进行预订。API使用客户端的用户ID和密码进行预订。预订API不使用OAuth或任何社交媒体登录

我的愿望是创建一个助手操作来检索类列表，并允许客户进行预订

我的难题是，为了提供预订API所需的用户ID/密码对，应该采用什么样的设计/体系结构

其他人是如何解决这个难题的

我是否应该将用户ID/密码存储为与操作关联的“用户状态”？

首先，您应该与API提供商进行对话，了解他们为什么不提供基于OAuth的解决方案。这是一个等待发生的安全漏洞，如果它还没有发生的话

其次，在这种情况下，您需要非常仔细地思考自己的风险状况：

谷歌你收集凭据信息（即密码）通过你的行动
因此，必须使用对其进行身份验证
这意味着您将需要一些东西（例如，数据库或数据存储）来管理您的帐户
- 该数据库将是保存API所需用户名/密码的好地方
- …但现在这意味着您需要非常小心地保护此数据库

您并没有真正说明此API如何允许创建和管理帐户。如果这些帐户只是为您使用的（即，用户不一定看到它们），那么您可以通过将用户名/密码视为您管理和生成的、用户从未看到的不透明令牌来减轻部分风险

如果用户知道这一点，那么您需要通过以下两种方式之一进行帐户链接：

让他们使用您需要保存的凭据信息（确认！）通过应用程序或Web应用程序登录到您的服务，然后使用OAuth链接到助手

让他们使用谷歌登录，通过应用程序或网络应用程序登录到您的服务中，这将延续到您的操作中。然后让他们提供API的凭证信息，您需要保存（确认！）