Oauth 2.0 Mastodon:如果没有用户令牌,您如何对应用程序进行身份验证?
我对oauth2(在Mastodon的上下文中)的理解是,用户向Mastodon实例注册其客户机,并接收客户机机密,然后用于创建身份验证uri,用户访问并检索身份验证代码,该代码与机密一起用于请求最终身份验证令牌。该令牌用于通过请求头对经过身份验证的请求进行签名 我注意到Mastodon不需要用户验证应用程序的oauth2凭据Oauth 2.0 Mastodon:如果没有用户令牌,您如何对应用程序进行身份验证?,oauth-2.0,Oauth 2.0,我对oauth2(在Mastodon的上下文中)的理解是,用户向Mastodon实例注册其客户机,并接收客户机机密,然后用于创建身份验证uri,用户访问并检索身份验证代码,该代码与机密一起用于请求最终身份验证令牌。该令牌用于通过请求头对经过身份验证的请求进行签名 我注意到Mastodon不需要用户验证应用程序的oauth2凭据 如何在没有用户身份验证的情况下发送任何经过身份验证的请求?从OAuth 2.0的角度来看,用户不需要验证应用程序凭据。应用程序凭据属于应用程序,必须受到保护,不受包括最
如何在没有用户身份验证的情况下发送任何经过身份验证的请求?从OAuth 2.0的角度来看,用户不需要验证应用程序凭据。应用程序凭据属于应用程序,必须受到保护,不受包括最终用户在内的任何第三方的影响 OAuth2.0用于授权,或者换句话说,用于访问委托。当最终用户使用您的应用程序时,他/她允许您的应用程序使用他/她的资源。所以,应用程序有责任检索、存储、使用和保护凭据 请阅读更多关于 还有一件事 该令牌用于通过请求头对经过身份验证的请求进行签名 这种理解是错误的。一旦应用程序接收到令牌,它们将简单地通过头传递到OAuth保护的端点(例如:-Mastodon API)。这一点在 获得访问令牌后,添加HTTP头Authorization:Bearer。。。任何API调用
从OAuth 2.0的角度来看,用户不需要验证应用程序凭据,可以从中了解更多信息。应用程序凭据属于应用程序,必须受到保护,不受包括最终用户在内的任何第三方的影响 OAuth2.0用于授权,或者换句话说,用于访问委托。当最终用户使用您的应用程序时,他/她允许您的应用程序使用他/她的资源。所以,应用程序有责任检索、存储、使用和保护凭据 请阅读更多关于 还有一件事 该令牌用于通过请求头对经过身份验证的请求进行签名 这种理解是错误的。一旦应用程序接收到令牌,它们将简单地通过头传递到OAuth保护的端点(例如:-Mastodon API)。这一点在 获得访问令牌后,添加HTTP头Authorization:Bearer。。。任何API调用
更多信息,请访问在Mastodon,有数千台服务器(实例)。据我所知,用户直接对应用程序进行身份验证,而不是应用程序使用数千台服务器对自己进行身份验证,并对用户隐藏其密钥。也许有人能澄清这一点。我的应用程序应该在数千台服务器上注册,然后提供自己的身份验证管理服务器吗?我担心这是对Mastodon基础设施的反模式。我不知道
令牌用于通过请求头签署经过身份验证的请求与应用程序收到令牌后的之间有什么区别,它们只需通过头文件传递到OAuth保护的端点
。我想这在他们的文档中已经解释过了,Mastodon是联邦的,因此您不能期望在您的用户可能想要登录的所有潜在服务器上手动注册您的应用程序。因此,有一个开放的应用程序注册API,因此可以自动获取OAuth 2授权的OAuth 2凭据。确保您允许用户在登录前指定他们要连接的域。使用该域获取OAuth 2的客户机id/secret,然后继续正常的OAuth 2,也使用该域来构建URL。在Mastodon中有数千个服务器(实例)。据我所知,用户直接对应用程序进行身份验证,而不是应用程序使用数千台服务器对自己进行身份验证,并对用户隐藏其密钥。也许有人能澄清这一点。我的应用程序应该在数千台服务器上注册,然后提供自己的身份验证管理服务器吗?我担心这是对Mastodon基础设施的反模式。我不知道令牌用于通过请求头签署经过身份验证的请求与应用程序收到令牌后的之间有什么区别,它们只需通过头文件传递到OAuth保护的端点
。我想这在他们的文档中已经解释过了,Mastodon是联邦的,因此您不能期望在您的用户可能想要登录的所有潜在服务器上手动注册您的应用程序。因此,有一个开放的应用程序注册API,因此可以自动获取OAuth 2授权的OAuth 2凭据。确保您允许用户在登录前指定他们要连接的域。使用该域获取OAuth 2的客户端id/secret,然后继续正常的OAuth 2,也使用该域来构建URL。