Saltar al contenido principal

Obtaining Access Tokens using 3-legged OAuth flow

Para realizar acciones en nombre de otro usuario, necesitarás obtener sus Access Tokens. Los Access Tokens especifican la cuenta de X en cuyo nombre se realiza la solicitud, por lo que, para poder obtenerlos, primero deberán concederte acceso. Estos tokens no caducan, pero el usuario puede revocarlos en cualquier momento. X te permite obtener Access Tokens de usuario mediante el flujo de OAuth de 3 fases, que permite que tu aplicación obtenga un access token y el secreto del access token redirigiendo a un usuario a X y haciendo que autorice tu aplicación. Este flujo es casi idéntico al descrito en implementing Log in with X, con dos excepciones: Antes de comenzar, deberás verificar los permisos de tu App y conocer las consumer keys y la callback URL. Si no tienes una callback URL o una interfaz de usuario públicamente accesible, considera usar PIN-based authorization, pensada para aplicaciones que no pueden acceder a ni integrar un navegador web para redirigir al usuario después de la autorización.  Los posibles estados de la interacción de inicio de sesión de 3 fases se ilustran en el siguiente diagrama de flujo:

Descripción general del proceso

A un nivel general, el proceso OAuth de 3 patas hará lo siguiente:
  1. Crear una solicitud para que una aplicación cliente obtenga un token de solicitud.
  2. Hacer que el usuario se autentique y enviar a la aplicación cliente un token de solicitud.
  3. Convertir el token de solicitud en un access token de usuario utilizable.
Aclaración de terminología En la guía a continuación, puede ver distintos términos que se refieren a lo mismo. Credenciales de cliente:
  • App Key === API Key === Consumer API Key === Consumer Key === Customer Key === oauth_consumer_key
  • App Key Secret === API Secret Key === Consumer Secret === Consumer Key === Customer Key === oauth_consumer_secret
  • Callback URL === oauth_callback  
Credenciales temporales:
  • Request Token === oauth_token
  • Request Token Secret === oauth_token_secret
  • oauth_verifier  
Credenciales de token:
  • Access token === Token === resulting oauth_token
  • Access token secret === Token Secret === resulting oauth_token_secret

Pasos del recorrido

Paso 1: POST oauth/request_token Cree una solicitud para que una aplicación de consumidor obtenga un token de solicitud. El único parámetro exclusivo en esta solicitud es oauth_callback, que debe ser una versión codificada en URL de la URL a la que desea que se redirija a su usuario cuando complete el paso 2. Los parámetros restantes los añade el proceso de firma de OAuth. Tenga en cuenta: cualquier URL de callback que use con el endpoint POST oauth/request_token deberá configurarse en la configuración de su App de desarrollador en la página de detalles de la App del portal de desarrolladores.   La solicitud incluye: oauth_callback="https%3A%2F%2FyourCallbackUrl.com" oauth_consumer_key="cChZNFj6T5R0TigYB9yd1w"  Su App debe examinar el estado HTTP de la respuesta. Cualquier valor distinto de 200 indica un error. El cuerpo de la respuesta contendrá los parámetros oauth_token, oauth_token_secret y oauth_callback_confirmed. Su App debe verificar que oauth_callback_confirmed sea true y almacenar los otros dos valores para los siguientes pasos.   La respuesta incluye oauth_token=NPcudxy0yU5T3tBzho7iCotZ3cnetKwcTIRlX0iwRl0 oauth_token_secret=veNRnAWe6inFuo8o2u8SLLZLjolYDmDP7SzL0YfYI oauth_callback_confirmed=true Paso 2: GET oauth/authorize Haga que el usuario se autentique y envíe a la aplicación de consumidor un token de solicitud.   URL de ejemplo para redirigir al usuario: https://api.x.com/oauth/authorize?oauth_token=NPcudxy0yU5T3tBzho7iCotZ3cnetKwcTIRlX0iwRl0 Tras una autenticación correcta, su callback_url recibirá una solicitud que contiene los parámetros oauth_token y oauth_verifier. Su aplicación debe verificar que el token coincida con el token de solicitud recibido en el paso 1.   Solicitud desde la redirección del cliente: https://yourCallbackUrl.com?oauth_token=NPcudxy0yU5T3tBzho7iCotZ3cnetKwcTIRlX0iwRl0&oauth_verifier=uw7NjWHT6OJ1MpJOXsHfNxoAhPKpgI8BlYDhxEjIBY Paso 3: POST oauth/access_token Convierta el token de solicitud en un access token utilizable. Para convertir el token de solicitud en un access token utilizable, su aplicación debe realizar una solicitud al endpoint POST oauth/access_token que contenga el valor oauth_verifier obtenido en el paso 2. El token de solicitud también se pasa en la parte oauth_token del encabezado, pero esto lo habrá añadido el proceso de firma.   La solicitud incluye: POST /oauth/access_token oauth_consumer_key=cChZNFj6T5R0TigYB9yd1w oauth_token=NPcudxy0yU5T3tBzho7iCotZ3cnetKwcTIRlX0iwRl0 oauth_verifier=uw7NjWHT6OJ1MpJOXsHfNxoAhPKpgI8BlYDhxEjIBY Una respuesta correcta contiene los parámetros oauth_token y oauth_token_secret. El token y el token secret deben almacenarse y usarse para futuras solicitudes autenticadas a la X API. Para determinar la identidad del usuario, use GET account/verify_credentials.   La respuesta incluye: oauth_token=7588892-kagSNqWge8gB1WwE3plnFsJHAZVfxWD7Vb57p0b4 oauth_token_secret=PbKfYqSryyeKDWz4ebtY3o5ogNLG11WJuZBc9fQrQo Uso de estas credenciales para solicitudes requeridas de OAuth 1.0a (aplicación-usuario) Ahora que has obtenido los Access Tokens de usuario, puedes usarlos para acceder a ciertas API como POST statuses/update para crear Tweets en nombre de los usuarios.   La solicitud incluye: POST statuses/update.json oauth_consumer_key=cChZNFj6T5R0TigYB9yd1w oauth_token=7588892-kagSNqWge8gB1WwE3plnFsJHAZVfxWD7Vb57p0b4

Caso de uso de ejemplo

El flujo estándar es web y utiliza el flujo de autorización OAuth de tres participantes (3-legged). Las capturas de pantalla descritas aquí forman parte de un ejemplo cuyo código fuente puedes consultar en https://github.com/xdevplatform/twauth-web. En algún punto de tu aplicación, deberás redirigir a X para autorizarla.
Cuando redirijas a X con el token de solicitud, se le pedirá al usuario que autorice tu aplicación.
Una vez que el usuario autorice tu aplicación, se le redirigirá a la URL de callback proporcionada cuando generaste el token de solicitud. Utilizarás esto para obtener el access token permanente de este usuario y almacenarlo localmente.
I