Получение OAuth-токена

Процесс получения OAuth-токена описан в документации к OAuth.

OAuth-токены генерируются OAuth-сервером Яндекса по адресу oauth.yandex.ru.

Для использования OAuth-авторизации разработчик должен зарегистрировать клиента на Яндексе по адресу https://oauth.yandex.ru/client/new. При регистрации разработчик выбирает набор прав для работы с сервисом Яндекс.Фотки:

• загрузка новых альбомов и фотографий;
• изменение данных об альбомах, фотографиях и тегах;
• просмотр открытых и приватных альбомов и фотографий;
• удаление альбомов, фотографий и тегов.

Данные права определяют действия, необходимые клиенту для работы с данными пользователей Яндекс.Фоток.

В результате регистрации клиенту выдается уникальной идентификатор (client_id), который будет использоваться клиентом при получении токена.

Когда клиенту необходимо авторизоваться на Яндекс.Фотках, он запрашивает у конечного пользователя разрешение на доступ к его данным на Яндекс.Фотках. При этом пользователю выводится список действий, которые клиент может осуществлять с его данными. У пользователя нет возможности выбирать конкретные действия из списка предложенных.

Если конечный пользователь дает разрешение на доступ к своим данным, OAuth-сервер генерирует токен и передает его клиенту. Токены ставятся в соответствие каждой паре «идентификатор клиента - идентификатор пользователя».

Существует несколько вариантов получения OAuth-токена, например:

• Получение токена путем запроса разрешения пользователя;
• Получение токена по логину и паролю пользователя.

Разработчик сам выбирает более предпочтительный для него способ получения токена, однако с точки зрения безопасности целесообразно использовать первый способ.

При получении токена путем запроса разрешения пользователя клиентское приложение может не знать логина. Способ получения сервисного документа в этом случае описан в разделе /api/me/.