Повторная авторизация через твиттер

Question

[Zubchick]

Как организовать повторную авторизацию через твиттер? То есть пользователь уже 1н раз дал доступ приложению, сделал дела и вышел (logout). Теперь он снова заходит нажимает кнопку «login» и явно не хочет еще раз попадать на страницу с подтверждением законности действий нашего приложения, а хочет сразу войти в систему. Так вот как это организовать?

Хранить secret и key в кукисах не хочу, потому что это как-то небезопастно, есть какие-то еще способы? Twitpic, например, логинит без лишних вопросов того пользователя, который в данный момент залогинен в твиттере (если конечно уже было дано подтверждение для twitpic аккаунтом), есть подозрение что он смотрит куки twitter.com.

Answer 1

[Kakysha]

Ну, в данном случае, от твиттера ничего не зависит. Его дело — выдать вам oauth_secret и oath_key, а дальше вы уже можете его либо хранить, либо не хранить. Соответственно отправлен запрос зашифрованный помощью этих ключей — значит залогинен, отправлен запрос без ключей — денай. Поэтому вопрос, где хранить ключи уже ваш, и кодировать ими (читай — залогинен) или не подписывать запрос ими (читай — разлогинен) уже ваша задача.

Для начала уточните, на чем пишете и что именно треубется, а то я сделал южл вывод по слову «кукисы» о том, что вы авторизируете на своем сайте. Да?

Comments

[Zubchick]

да, авторизация на сайте. Пишу на питоне, библиотека tweepy. Мне нужно аутентифицировать пользователя на своем сайте, не кидая его еще раз на страницу подтверждения приложения.

[Kakysha]

Ну, вот мой вам совет. При логауте не выкидывать ключи, а прятать их куда-нибудь в базу / localStorage, а при логине проверять — есть ли спрятанные ключи — восстанавливаем. нет — авторизуем.

[Zubchick]

ключи и так в базе сохранены.
Схема такая: новый юзер который не был на сайте ниразу заходит, нажимает кнопку «логин» попадает на twitter.com/oauth/authorize?oauth_token=... там подтверждает что согласен. После чего идет редирект на мой сайт который возвращает мне ключи от пользователя. Я создаю новый аккаунт для этого юзера, сохраняю туда ключи и некоторую инфу. Юзер делает логаут. Через некоторое время приходит и хочет снова авторизоваться, вот я и хочу узнать как сделать так чтобы не производить всю эту процедуру заново?

[Kakysha]

Ох, что нашел ) Читайте, специально для вас написали: dev.twitter.com/pages/sign_in_with_twitter

[Zubchick]

благодарю)