oauth 2提供程序 - 必須同時爲客戶提供API密鑰和應用程序ID？

Question

我正在實現一個OAuth 2提供程序，並且想知道在向我的提供程序註冊應用程序時是否有必要爲客戶端生成API密鑰和客戶端ID。 （OAuth 2）同時擁有一個API密鑰和一個應用程序ID，但使用應用程序ID作爲他們的「client_id」參加他們的OAuth 2舞蹈。

我很確定OAuth 1.0a和OAuth 2規範都沒有爲客戶端指定多個鍵。

我不確定提供程序需要在哪種情況下爲客戶端應用程序生成。

Answer 1

我敢打賭Google和Twitter也會在每個應用程序的數據庫記錄中使用應用程序ID。在Twitter中，當您管理您的OAuth應用程序時，您將轉至http://dev.twitter.com/apps/1234，其中是應用程序ID。

這只是在Facebook上，他們開始在OAuth之前使用「應用程序」，並且他們一直在使用應用程序ID來識別應用程序自啓動以來的請求。這可能只是他們開發者爲了減少複雜性而作出的一些決定。

總之，應用程序ID只是他們跟蹤應用程序的方式，所以問題是你會怎麼樣？

請注意，當一個應用程序受到威脅時，應該有一個選項來重置消費者密鑰和/或祕密。