OAUTH身份验证和数据关联

Question

我有一个客户谁在他们的网站上使用oauth请求，所以用户可以使用他们的facebook或谷歌凭证进行身份验证。我想知道在这个过程中哪些信息是持久的，这样我就可以将它们链接到我数据库中的帐户记录。

我的第一反应是使用最后一个令牌(实际上用于从任何站点请求信息的令牌)，但据我所知，这些令牌可能会过期，从而破坏我的链接。如果令牌过期，我如何识别谁是谁？

如果您仍然不能确定我的意思，请以stackoverflow为例。我使用我的google凭证登录到stackoverflow。stackoverflow如何将我的oauth登录与我的帐户信息相关联？有些事情必须坚持下去。

我觉得我遗漏了一些显而易见的东西，但由于某种原因，我无法将这些点联系起来。很可能是因为我对oauth一无所知。

任何见解都将不胜感激。

编辑:我刚刚意识到stackoverflow使用了openID。我是不是找错人了？这可以用oAuth实现吗？

Answer 1

这取决于你想要实现的目标。如果客户希望能够从他们的网站操作用户在Facebook上的数据，那么像OAuth这样的东西将是必要的。

如果客户端只是想让他们的用户不再需要创建另一个用户名和密码，那么OpenID可能是最佳选择。

如果您使用OAuth，则当令牌过期时，您必须重新执行登录过程并请求另一个令牌。超时是一个有价值的安全特性。