为什么oauth使用时间凭证的秘密?


0

我想了解oauth协议。我目前正在查看oauth 1.0 sepecification的临时凭证部分。

为什么随着时间的证书一起被需要的秘密我无法理解。秘密与令牌本身一起发送。因此,如果应用程序以外的人可以获得令牌,他也可以获得该秘密。对?那么添加秘密的原因是什么?

1

秘密通过SSL连接从OAuth提供程序发送到应用程序的服务器,然后存储在应用程序的站点上,永远不会离开它,而令牌的开放部分随着每个请求从客户端移动到应用程序的站点(远离会话缓存现在)。 SSL旨在抵制嗅探,正确实施并采用最新的强大算法,因此在不影响SSL算法,SSL认证计划或应用程序网站本身(也许是最薄弱的环节...)的情况下,获得秘密并伪造假文件实际上是不可能的未经授权的客户的要求

  0

感谢“秘密从OAuth的提供商通过SSL连接只发送一次,以应用程序的服务器,然后存储在应用程序的网站从来没有离开过它后,当令牌的开放部分由客户端传播到应用程序网站的每个请求” - 我现在明白了。再次感谢你! 25 11月. 132013-11-25 13:18:06