¿Restablecer las claves de mi aplicación en Twitter invalidará los tokens de acceso de mis usuarios?

He tenido mi clave de consumidor y mi secreto codificados en la aplicación en la que trabajé.

Ahora me gustaría bloquear las claves para que solo los administradores puedan acceder a la clave/secreto del consumidor.

Me gustaría restablecer las claves de mi aplicación, pero mantener las claves de acceso y los secretos de mis usuarios en su lugar, para que no se vean obligados a volver a autenticarse.

Según la prueba que ejecuté, parecía que estaba bien (las antiguas access_keys continuaron funcionando con hash con las nuevas claves de la aplicación).

¿Es eso correcto? es decir, ¿es eso posible y, de ser así, es parte de algún estándar de OAuth o específico de Twitter?

Editar: por experiencia, ahora he visto que los tokens de acceso de los usuarios no están invalidados. Esto no es algo general sobre OAuth, solo Twitter.

preguntado el 22 de mayo de 12 a las 18:05

Si funciona, es una gran falla de implementación en Twitter. Eso significaría que cualquier consumidor podría usar cualquier token de acceso. Me sorprendería mucho si este fuera el caso. -

No estoy de acuerdo, pueden hacer un hash de $app_consumer_secret + $user_access_secret y verificar que coincida con el hash creado con ese combo en el cliente, independientemente del $app_consumer_secret en su lugar cuando se emitió, ya que tienen todas las credenciales de su parte. -

Tienes razón, pero no estoy seguro de seguir tu razonamiento. Hice una investigación rápida y agregué una respuesta. -

2 Respuestas

En teoría, no debería funcionar, porque el token de acceso oAuth está vinculado a la clave del consumidor y al secreto del consumidor proporcionado por Twitter.

contestado el 22 de mayo de 12 a las 19:05

En realidad, tiene razón, funcionará porque restableció las credenciales de consumidor para su aplicación ya existente. Con un nuevo par clave/secreto de consumidor para la aplicación existente, no veo ninguna razón por la que esto no funcione.

El token de acceso está conectado a la aplicación, no a las credenciales de la aplicación. Sin embargo, esto significa que los tokens de acceso existentes no funcionarán con ninguna aplicación nueva que cree.

contestado el 22 de mayo de 12 a las 22:05

No es la respuesta que estás buscando? Examinar otras preguntas etiquetadas or haz tu propia pregunta.