您好,匿名用户
随意问技术百科期待您的加入

请教最适合在多个主域名及移动应用之间共享账号的方式

0 投票

例如 xxx.com 是仅负责管理账号和用户信息的网站。
xx1.im xx2.im xx3.im 是提供各种不同应用的站点。
还有一部分应用提供移动设备的APP,需要在APP上进行 xxx.com 的登录验证。
验证成功后以登录用户身份从 xx1.im 应用站点上获取关于此应用的数据。

) 用户信息的共享:

用户在 xxx.com 注册账户之后可以上传头像、设置昵称。

如果 xx1.im 要调用用户的昵称,并在用户发表的文章处显示给大家看的话。
昵称是否一定要保存一份,存在 xx1.im 的数据库里呢?
如果要保存在 xx1.im 的数据库里,请问如何保持与 xxx.com 的同步?
请问 xx1.im 从 xxx.com 调用数据最安全的方式是什么?

刚刚看到 stackoverflow支持很多账号的登录,因为对这些登录方式了解不够深入。
但是发现可能这些登录方式就是解决这个问题的答案。
如果是的话,请跳过上面的问题。

) 类似使用新浪微博的登录方式:

如果 xxx.com 提供这类协议,然后 xx1.im 用这类协议登录。
请问如何保持子站点的用户昵称与 xxx.com 之间的同步呢?

刚刚又在新浪微博的API WIKI里看到 “因为xAuth依然会获得用户明文密码,xAuth实行有限开放。开发初期建议使用桌面客户端使用OAuth,移动客户端使用WAP 1.0或者2.0版页面授权。当用户数量达到一定规模后再使用xAuth提升用户体验。”

然后读到 “采用xAuth认证的桌面应用和移动应用可以跳过oauth/request_token(获取Request Token)以及oauth/authorize(授权Request Token)两步,只要提供了username和password以后,即可直接通过oauth/access_token接口得到Access Token。”

如果 xx1.im 从 xxx.com 用 xauth 获取用户名和密码之后,以后再登陆应该不需要通过什么协议与 xxx.com 验证,直接从数据库里面验证第一次获取的用户名和密码就好了啊?!为什么还要什么Access Token呢?难道用于同步密码?

不好意思问得有一点混乱,最近积累了不少疑惑。麻烦了。

用户头像 提问 2012年 12月1日 @ Ashe 上等兵 (336 威望)
编辑 2012年 12月1日 @Saber
分享到:

1个回答

0 投票
 
最佳答案

首先,关于第三方登陆用户Profile同步问题。用户每次登陆,都应该去第三方网站去更新一次Profile,然后存在本地,供本次登陆周期内使用。

然后,关于OAuth和各种Token什么的,拿Sina和SegmentFault举例。
1. 用户名密码一定在本网站输入(比如新浪登陆,一定要在新浪的页面输入用户名密码)
2. 非法应用无法登陆,AccessToken基于SegmentFault的应用ID。
3. 使用Sina登陆SegmentFault后,SegmentFault拿到两个token作为凭证可以去Sina进行操作,而这个凭证是否过期由Sina控制,例如用户改了密码,那么就可以失效这个token,用户再来的时候,就必须重新去Sina授权一次。

用户头像 回复 2012年 12月1日 @ Malphite 上等兵 (306 威望)
选中 2012年 12月1日 @Ashe
提一个问题:

相关问题

0 投票
1 回复 29 阅读
0 投票
0 回复 22 阅读
+2 投票
1 回复 125 阅读
0 投票
1 回复 47 阅读
用户头像 提问 2012年 12月1日 @ Talon 上等兵 (294 威望)

欢迎来到随意问技术百科, 这是一个面向专业开发者的IT问答网站,提供途径助开发者查找IT技术方案,解决程序bug和网站运维难题等。
温馨提示:本网站禁止用户发布与IT技术无关的、粗浅的、毫无意义的或者违法国家法规的等不合理内容,谢谢支持。

欢迎访问随意问技术百科,为了给您提供更好的服务,请及时反馈您的意见。
...