跳转到主要内容

Bearer Token(也称 app-only)

OAuth 2.0 Bearer Token 代表你的开发者应用对请求进行认证。由于此方法特定于应用,因此不涉及任何用户。该方法通常适用于只需对公开信息进行只读访问的开发者。 此认证方法要求你在请求中携带 Bearer Token,你可以在开发者应用的 Keys and tokens 部分生成该令牌。以下是一个使用虚构 Bearer Token 的请求示例: 
  curl "https://api.x.com/2/tweets?ids=1261326399320715264,1278347468690915330" \
  -H "Authorization: Bearer AAAAAAAAAAAAAAAAAAAAAFnz2wAAAAAAxTmQbp%2BIHDtAhTBbyNJon%2BA72K4%3DeIaigY0QBrv6Rp8KZQQLOTpo9ubw5Jt?WRE8avbi"
使用仅应用级认证的 API 调用会在应用层面按端点受到速率限制 要使用此方法,你需要一个 Bearer Token。你可以通过将你的 API Key 和 Secret 传递给 POST oauth2/token 端点来生成,或者在 开发者门户 中你的应用设置的 “keys and token” 部分生成。 如果你想撤销 Bearer Token,可以使用 POST oauth2/invalidate_token 端点,或者在你的应用设置的 “keys and tokens” 部分点击 Bearer Token 旁的 “revoke”。

使用 PKCE 的 OAuth 2.0 授权码流程

使用 PKCE 的 OAuth 2.0 授权码流程可让你代表其他用户进行身份验证,更灵活地控制应用的权限范围(scopes),并改进跨多设备的授权流程。换言之,为 X 用户构建应用的开发者将能够更好地控制其应用向用户请求的信息,因此你只需向终端用户请求所需的 data 和信息。 这一现代授权协议将使你能够为终端用户呈现更为精简的授权同意流程,仅显示你向其请求的特定权限范围(scopes)。这不仅降低了你的 data 处理负担,也可能提升终端用户的信任度。