这是一个开放式问题,我很好奇人们的想法:当你有一个使用Twitter身份验证的应用程序来设置"记住我"cookie时,这是否有意义?这样,它就不必命中 Oauth 服务,并且可以在设置的时间段内重新创建会话?
我希望这是清楚的。对你的想法感到好奇。
这仅取决于在通过"使用 Twitter 身份验证登录"流将用户发送回之前要等待多长时间。如果你的 cookie 持续很长时间,他们就不会经常重复流程,但如果有人偷了 cookie,他们将可以访问更长的时间。不利的一面是,如果他们退出Twitter并且cookie过期,他们必须向Twitter进行身份验证。这实际上取决于哪种安全性和令牌过期对您的 Web 应用程序有意义。
>OAuth 与 cookie 无关。您应该存储访问令牌并使用它,直到它过期。访问令牌过期是一个服务器控制的过程,您必须处理给定 HTTP 未授权的情况,并获取新的访问令牌。
在应用中具有"记住我"功能就是应用逻辑。你仍然可以控制是否要每次都向用户显示Twitter的身份验证屏幕。请记住,如果您的过期超时时间长于 Twitter 的访问令牌生命周期,则必须让最终用户再次进行身份验证。
没关系。当应用使用 OAuth 时,它会取回一个令牌,该令牌应与您的帐户信息一起存储。然后,当你回来时,它可以查找令牌并使用它来访问你的Twitter帐户。
如果您没有cookie,只需登录该应用程序,它将存储您的令牌。如果这样做,则可以跳过该登录步骤。在这两种情况下,您都不必再次登录Twitter(直到令牌过期)。