Зачем использовать секрет с временными учетными данными?


0

Я пытаюсь понять протокол oauth. В настоящее время я просматриваю временные учетные данные oauth 1.0 sepecification.

Я не могу понять, зачем нужен секрет и временные полномочия. Секрет отправляется с самим токеном. Поэтому, если кто-то, кроме приложения, может получить токен, он также может получить секрет. правильно? Итак, в чем причина добавления тайны?

1

Секрет отправляется только один раз от поставщика OAuth к серверу приложений через SSL-соединение, а затем сохраняется на сайте приложения, не оставляя его позже, в то время как открытая часть токена перемещается с клиента на сайт приложения с каждым запросом (оставьте сеанс кэширования сеанса для Теперь). SSL разработан, чтобы противостоять нюханию, правильному внедрению и использованию последних сильных алгоритмов, поэтому без компрометации алгоритмов SSL, схемы сертификации SSL или самого сайта приложения (возможно, самой слабой ссылки ...) практически невозможно получить секретные и поддельные подделки запрос от неавторизованных клиентов.

  0

Спасибо «Секрет отправляется только один раз от поставщика OAuth к серверу приложения через SSL-соединение, а затем сохраняется на веб-сайте приложения, не оставляя его позже, в то время как открытая часть токена перемещается с клиента на сайт приложения с каждым запросом» - я понимаю сейчас , Еще раз спасибо! 25 ноя. 132013-11-25 13:18:06