oauth - Instagram API:作用域可用于OAuth2隐式身份验证流吗？

Question

我正在通过移动应用程序针对Instagram API发出请求。目前，我只是将用户定向到Instagram身份验证URL，并将响应类型指定为“ access_token”。指定此response_type称为隐式身份验证。

显式身份验证：response_type = code
隐式身份验证：response_type = access_token

我试图解决需要站立一个Web服务来促进显式身份验证的问题。这是必要的，因为在显式身份验证流程中，Instagram API需要调用重定向URL并传递“ code”参数。然后，我的服务器端代码将使用该代码向Instagram发出最终请求以获取访问令牌。

对于移动应用程序而言，使用隐式流效率更高，因为不需要站起来处理任何额外的私人身份验证服务。

Instagram支持以下范围：


基本-读取与用户相关的所有数据（例如
以下/后续列表，照片等）（默认情况下已授予）
评论-代表用户创建或删除评论
关系-代表用户关注和取消关注用户
喜欢-代表用户喜欢和不喜欢的商品


当我进行除“基本”以外的任何其他类型的范围说明时，当用户在身份验证URL上提供凭据时，将收到以下响应：

{"code": 400, "error_type": "OAuthException", "error_message": "Invalid scope field(s): basic+likes"}

除“基本”范围外，范围的任何组合均会给出相同的响应。

所以，我的问题是：


为了指定超出“基本”范围的是否需要显式身份验证？
我是否需要指定response_type = code才能使扩展范围起作用？
这是Instagram的限制，还是OAuth 2.0的限制？


提前致谢。

Answer 1

我只是使用我的client_id和scope = basic + likes尝试使用隐式oauth流，但它确实有效。将下面的网址替换为client_id和redirect_uri，然后尝试。

https://instagram.com/oauth/authorize/?client_id=CLIENT_ID&redirect_uri=REDIRECT-URI&response_type=token&scope=basic+likes

可能是Instagram不允许新客户帐户的基本范围以外的范围...