なぜoauthは時間認証情報で秘密を使用しますか?


0

私はoauthプロトコルを理解しようとしています。私は現在、oauth 1.0 sepecificationの時間信用証明セクションを見ています。

秘密がなぜ時間的証明と一緒に必要なのか理解できません。秘密はトークン自体と共に送信されます。したがって、アプリ以外の誰かがトークンを取得できる場合、彼は秘密を取得することもできます。右?では、秘密を追加する理由は何ですか?

1

シークレットは、OAuthプロバイダからSSL接続を介してアプリのサーバに一度だけ送信され、アプリケーションのサイトに保存されることはありません。トークンの公開部分は、クライアントからアプリのサイトに移動します今)。 SSLは、スニッフィングに抵抗し、適切に実装され、最新の強力なアルゴリズムを採用しているため、SSLアルゴリズム、SSL認証スキーム、またはアプリケーションのサイト自体(おそらく最も弱いリンクなど)を妥協することなく、秘密を偽造することはできません権限のないクライアントからのリクエスト

  0

「秘密はOAuthプロバイダからSSL接続を介してアプリのサーバーに一度だけ送信され、その後トークンの開いた部分がクライアントからアプリのサイトに移動するたびに残されることはありません」 - 。ありがとうございました! 25 11月. 132013-11-25 13:18:06