eu sabia q tinha mais uma etapa, não lembrava desse detalhe. Valeu eden.
2013/8/6 Eden Cardim <[email protected]> > >>>>> "Tiago" == Tiago Peczenyj <[email protected]> writes: > > Tiago> isso é feito server side. Oauth, SE NAO ME ENGANO, quando > Tiago> vc faz > > Tiago> 1 - tenta logar no youtube > > Tiago> ele ve q vc nao tem cookie de sessao e manda pra > Tiago> accounts.google.com e na url tem alguma indicação que vc > Tiago> veio do youtube (um redirect_url=xxx por exemplo). > > Tiago> 2- vc loga no accounts.google.com > > Tiago> 3- google the redireciona pra url xxx do youtube e recebe > Tiago> uma chave y > > Tiago> 4- o youtube recebendo esse redirecionamento verifica > Tiago> server side se a chave y é valida. se sim ele inicia a > Tiago> sessao. > > Tiago> é server side pq vc tem um par de chaves criptograficas pra > Tiago> utilizar nesse handshake interno. > > Dei uma revisada na especificação e você realmente está correto, isso > é OAuth com implicit grant e não o tipo mais comum, o authorization > code grant, vide http://tools.ietf.org/html/rfc6749#section-1.3.2 > > O implicit grant é viável pelo fato dos dois serviços pertencerem à > mesma organização, assim, se o token for exposto a um terceiro, ambos > os serviços podem conferir a validade do mesmo via handshake no > backend, pra conferir se a pessoa que usou o token no youtube.com está > realmente autenticada no accounts.google.com e se a conta dela está > autorizada a usar esse token, antes de liberar o acesso. > > O authorization code grant, que é a modalidade mais comum em apis, > etc. faz uma troca de tokens com serviços de terceiros para que o > token de acesso final não fique exposto no browser. > > -- > Eden Cardim -- Insolide Soluções de TI Ltda. > +55 11 9644 8225 > http://insoli.de > =begin disclaimer > Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ > SaoPaulo-pm mailing list: [email protected] > L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> > =end disclaimer > -- Tiago B. Peczenyj Linux User #405772 http://about.me/peczenyj
=begin disclaimer Sao Paulo Perl Mongers: http://sao-paulo.pm.org/ SaoPaulo-pm mailing list: [email protected] L<http://mail.pm.org/mailman/listinfo/saopaulo-pm> =end disclaimer
