惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

P
Palo Alto Networks Blog
T
The Blog of Author Tim Ferriss
Engineering at Meta
Engineering at Meta
博客园_首页
博客园 - 三生石上(FineUI控件)
G
Google Developers Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
博客园 - 【当耐特】
Microsoft Security Blog
Microsoft Security Blog
P
Privacy & Cybersecurity Law Blog
Recent Commits to openclaw:main
Recent Commits to openclaw:main
S
Secure Thoughts
爱范儿
爱范儿
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
H
Help Net Security
The Cloudflare Blog
Recorded Future
Recorded Future
Attack and Defense Labs
Attack and Defense Labs
J
Java Code Geeks
O
OpenAI News
T
Tor Project blog
B
Blog RSS Feed
D
Darknet – Hacking Tools, Hacker News & Cyber Security
PCI Perspectives
PCI Perspectives
V
Visual Studio Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
A
About on SuperTechFans
www.infosecurity-magazine.com
www.infosecurity-magazine.com
W
WeLiveSecurity
Cyberwarzone
Cyberwarzone
云风的 BLOG
云风的 BLOG
Security Latest
Security Latest
S
Schneier on Security
Know Your Adversary
Know Your Adversary
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
V
Vulnerabilities – Threatpost
D
DataBreaches.Net
宝玉的分享
宝玉的分享
T
Troy Hunt's Blog
V
V2EX
Cisco Talos Blog
Cisco Talos Blog
酷 壳 – CoolShell
酷 壳 – CoolShell
美团技术团队
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Latest news
Latest news
量子位
Microsoft Azure Blog
Microsoft Azure Blog

OAuth

授权码 + PKCE 模式| OIDC & OAuth2.0 认证协议最佳实践系列 [03] - V2EX OIDC & OAuth2.0 协议及其授权模式详解|认证协议最佳实践系列 [1] - V2EX OIDC & OAuth2.0 认证协议最佳实践系列 02 - 授权码模式(Authorization Code)接入 Authing - V2EX Java 小小写个开源 OAuth 客户端工具 - V2EX 腾讯的网页授权真难申请,微博秒搞定! - V2EX 关于 native 应用程序在使用 OAuth 2.0 的一些问题 如何创建一个 OAuth 服务 - V2EX 在oauth1.0中签名的话必须有consumer_key 与consumer_secret ,这样的话在桌面应用中岂不是这两个都给暴漏了 OAuth.io - V2EX OAuth 2.0 - V2EX 腾讯微博的OAuth问题...... - V2EX 搞定 OAuth 的感觉实在是太爽了 - V2EX img.ly API
weibo的OAuth问题 - V2EX
techzhou · 2012-06-05 · via OAuth

这是一个创建于 5122 天前的主题,其中的信息可能已经有所发展或是发生改变。

开放平台文档上说 OAuth2.0 access_token 24小时后过期

难道要24h以后 再授权一次 不是这么奇葩吧

kaka

1

kaka      2012 年 6 月 5 日

是的,sina比较短,审核过后是7天

ultragtx

4

ultragtx      2012 年 6 月 5 日

要是存密码了还要OAuth干啥

zythum

5

zythum      2012 年 6 月 5 日

朱一现在已经多审核什么没什么冲动了。如果不用通过审核的话,可以用oauth 1.0的方式。这样token是永久的。

cooiky

6

cooiky      2012 年 6 月 5 日

用1.0

young

7

young      2012 年 6 月 5 日

保存用户的token,每次登陆更新一下token

young

10

young      2012 年 6 月 5 日

@fanzeyi 不用refresh 这个api没有开发

我说的是, 每次用户过oauth sina那边都会返回用户有效的token的, update之

techzhou

11

techzhou      2012 年 6 月 6 日

@young 过oauth是什么意思 认证完显然是有效的 问题是会过期么

shinyzhu

12

shinyzhu      2012 年 6 月 6 日

新申请的应用只能使用OAuth 2.0,来源审核通过后Access Token可以保存7天过期,没有refresh_token,只能重新让用户登录授权。
另一种方式是使用grant_type=password的客户端授权,这样客户端需要保存用户名和密码,而且需要广场上线之后才能申请这个权限。

cooiky

13

cooiky      2012 年 6 月 6 日

@fanzeyi 没啊,旧的可以用,新申请同样会给你app key和secret啊

cooiky

14

cooiky      2012 年 6 月 6 日

@techzhou 就是让用户每次要用的时候都去点一遍授权
2.0的规范就是有过期时间,但会提供refresh_token来刷新,可sina不给,好像要合作方才有
QQ的2.0,好像是不过期的

yun77op

15

yun77op      2012 年 6 月 6 日

7天一般够用了

如果是优质应用的话,可以申请延长过期时间

原则上是不提供refresh_token

eerie

17

eerie      2012 年 6 月 6 日

@yun77op 啥叫原则上啊,不按标准来的oauth2就不应该叫oauth2
国内的这些互联网企业经常有奇葩的事情

young

19

young      2012 年 6 月 6 日

@techzhou token肯定会过期啊 refresh_token也是去更新用户的token啊,只不过是sina那边帮你做了而已。 那么你的应用里面肯定得有个方法去检测用户的token有效期了

virushuo

20

virushuo      2012 年 6 月 6 日

oauth2的规范是默认token是有有效期的,这没错。

但oauth2要有refresh_token接口,不给这个根本没法用,新浪貌似就这么做的。

我想他们并不是看不懂规范,而是表示用户是我新浪的,不是你的,所以用户要每次通过新浪才能用你的产品。

所以…客户端为了方便就都自己把用户名密码保存下来了,多大的安全隐患啊。

所以结论就是,少做这种平台的开发。

young

21

young      2012 年 6 月 6 日

不给 refresh_token 也可以理解,现在weibo上到处卖粉的,再把 refresh_token 给开发了,那还了得

虽然sina有监测

yun77op

22

yun77op      2012 年 6 月 6 日

举个例子,2/friendships/friends 这个API返回的数据对象data.users[0~count].following总是为false,这是故意这样的,说是following字段尚未启用

所以可以看出sina weibo API开放程度是有限的,OAuth相关的也就可以理解了

toothpaste

23

toothpaste      2012 年 6 月 6 日

我自己做了个weibo的网页客户端,就是每24小时手动授权一遍,反正只有我自己用。

satgi

24

satgi      2012 年 6 月 6 日

sina返回的数据多得吓死人啊

zsdsz

25

zsdsz      2012 年 6 月 6 日

不用重新授权 载入应用重新获取access_token就行了