Javascript imgurapi的安全性是如何工作的?
我正在试验,有一件事让我非常困惑。。。我想允许(一些)我的用户将图像上传到imgur,我也知道这是如何工作的,但我想知道删除这些图像的身份验证 Imgur将oAuth与一个令牌一起使用,Imgur将该令牌称为“客户机ID”。。。要发布图像,我们将使用以下内容:Javascript imgurapi的安全性是如何工作的?,javascript,imgur,Javascript,Imgur,我正在试验,有一件事让我非常困惑。。。我想允许(一些)我的用户将图像上传到imgur,我也知道这是如何工作的,但我想知道删除这些图像的身份验证 Imgur将oAuth与一个令牌一起使用,Imgur将该令牌称为“客户机ID”。。。要发布图像,我们将使用以下内容: var token = '...'; // the per-application token var imgData = '...'; // base64 encoded image data $.ajax({ url: 'ht
var token = '...'; // the per-application token
var imgData = '...'; // base64 encoded image data
$.ajax({
url: 'https://api.imgur.com/3/image',
method: 'POST',
headers: {
Authorization: 'Bearer ' + token,
Accept: 'application/json'
},
data: {
image: imgData,
type: 'base64'
},
success: function(result) {
var id = result.data.id;
window.location = 'https://imgur.com/gallery/' + id;
}
});
(示例来自)
关键是身份验证令牌,即客户端ID,是每个应用程序的AFAIK。。。那么,如何通过使用用于删除的API防止任何用户删除另一个用户的图像呢?例如,在他们的浏览器开发工具中粘贴如下内容并运行:
var token = '...'; // the per-application token
var imageID = '....'; // some id
$.ajax({
url: 'https://api.imgur.com/3/image/' + imageID,
method: 'DELETE',
headers: {
Authorization: 'Bearer ' + token,
Accept: 'application/json'
},
success: function(result) {
// just deleted other user's image??
}
});
是否在相册级别实现了安全性?这是如何工作的?您确定令牌是每个应用程序的吗?承载令牌身份验证头通常用于SSO场景(即OAuth 2),其中用户根据服务提供商(Imgur)进行身份验证…@SebastianS否我一点也不确定。。。但是我必须同时向Imgur本身和Imgur注册一个应用程序,它产生了一个
客户端ID
。。。我确实看到Imgur有Account
和Album
概念,所以我可能必须为每个用户创建一个Imgur帐户。。。不确定。。。