Почему во многих сервисах нужно обязательно получить access token для работы с api?

Question

[Twitt]

Вопрос в заголовке в целом.
Я когда работал с VK Api, я легко мог обратиться к адресу api.vk.com/method/ - любой метод, который может получить обычную инфу о пользователе, комментариях на странице, стене и т.д., при этом получать и указывать ключ доступа не обязательно. А у фейсбука я влез в Graph API, вот там сказано, что обязательно надо получить ключ доступа пользователя, даже если я хочу получить малейшую инфу о владельце страницы. То есть сайт работающий с фб апи без обязательного входа в фейсбук пользователя сделать уже не получится.
Стоит заметить, что встречал такое не только у фб, еще у одноклассников, мейл ру, инстаграм, гугл сервисы.

Так от чего же зависит то, обязателен ли токен, или нет? Или зависит от лояльности каждого сервиса?

Comments

[Сережа Ахен]

Я когда работал с VK Api, я легко мог обратиться к адресу api.vk.com/method/ - любой метод, который может получить обычную инфу о пользователе, комментариях на странице, стене и т.д., при этом получать и указывать ключ доступа не обязательно

Уже нет, нужен специальный токен для общих методов. Нужно для ограничений и ведения статистики.

Answer 1

[Philipp]

Вам следует начинать с прочтения спецификации https://tools.ietf.org/html/rfc6749

В двух словах - реализация OAuth API вконтакте не является полноценной.
В спецификации указано, что токен требуется для предоставления доступа к защищённому ресурсу. В Facebook большая часть информации имеет контролируемый доступ, например приватность или количество запросов за период времени. Поэтому использование токена позволяет этой системе работать. В Facebook довольно сложная система ограничения доступа - есть лимит на уровне токена и самого приложения.
Плюс, Facebook довольно серьёзно относится к приватности, поэтому без токена работать не получается.

Токен является обязательным условием для взаимодействия с API через OAuth. Это часть протокола.

Установка приложения является стандартной практикой в цивилизованном мире. Именно это и подтверждает то, что вы относитесь к данным ваших клиентов серьёзно.

Answer 2

[Артем]

token - это часть OAuth-метода авторизации
Это не связано с лояльностью или нелояльностью тех или иных сервисов - это связано с тем, какую технологию они выбрали для авторизации и управления авторизованными пользователями.

Comments

[Twitt]

Но ведь вконтакте тоже oauth авторизация, тем не менее, обращаясь к методам типа users.get, нам проходить oAuth не надо.
Сама проблема просто в том, что если я хочу сделать проект который будет работать с фб апи, и будет выборка обычный инфы о каких то юзерах, то пользователю моего сайта придется делать лишнее телодвижение, вводить логин и пароль.
Вот вконтач себе такого не позволяет, у них в этом плане гладко

[Артем]

Igor: Не могу прокомментировать, к сожалению, что какой сервис себе "позволяет", а что нет. Необходимость использования или неиспользования токенов для тех или иных функций определяют только создатели сервисов. И да, если хотите использовать функции, для которых требуется токен, позаботьтесь о наличии этого токена в запросе. Других вариантов нет.
Если софт хороший и нужный, юзабилити нормально продумано - то пользователю не составит труда вбить куда-то необходимые данные.

Answer 3

[xmoonlight]

без токена - обезличенный доступ к методам API
с токеном - контролируемый доступ к методам API

Для чего с токеном: для сбора инфы для разных внутренних нужд сервиса.

Answer 4

[Saboteur]

По токенам, сайт, предоставляющий API собирает метрики - какие какие методы и сколько раз были запрошены.

По этой информации, сайт балансирует нагрузку, решает какие методы нужно переделать, какие методы ограничить в вызовах/секунду или в час.
По этой же информации можно за деньги снять определенные лимиты, что позволяет персонально монетизировать API