oauth 2プロバイダ - クライアントにapi keyとapp idの両方を持たせる必要がありますか？

Question

私はOAuth 2プロバイダを実装しており、プロバイダにアプリを登録するときにクライアントのAPIキーとクライアントIDの両方を生成する必要があるかどうか疑問に思っています。

GoogleやTwitterなどのOAuth 1.0aプロバイダを見ると、クライアントには1つのキーしかありませんが、Facebook（OAuth 2）はAPIキーとアプリケーションIDの両方を持っていますが、 "client_id" OAuth 2のダンスではparam。

OAuth 1.0aもOAuth 2 specも、クライアント用に複数のキーを指定していないことは確かです。

プロバイダがクライアントアプリケーション用に両方を生成する必要があるかどうかはわかりません。

Answer 1

私は、GoogleとTwitterでもアプリケーションごとにデータベースレコードにアプリケーションIDを使用すると思います。 twitterでOAuthアプリを管理する場合、http://dev.twitter.com/apps/1234に行きます。はアプリケーションIDです。

Facebookで、彼らはOAuthの前に "apps"を使い始めました。彼らはアプリケーションのアプリケーションIDを使用して、開始から自分自身を識別しています。おそらく、開発者が複雑さを軽減するために行った決定にすぎません。

結論として、アプリケーションIDはアプリケーションを追跡する方法に過ぎないので、どうやって質問しますか？

アプリケーションが侵害された場合、コンシューマーキーおよび/または秘密をリセットするオプションが必要です。