0
我讀的OAuth協議流程 - http://hueniverse.com/oauth/guide/workflow/OAuth臨時憑證的用途是什麼?
我瞭解在OAuth訪問憑據的需要,因爲他們保證用戶已獲准進入他的資源,但是什麼是臨時證書的目的是什麼?他們顯然有必要將用戶重定向到服務器的登錄頁面,但爲什麼?沒有他們的服務會不會更安全?
我讀的OAuth協議流程 - http://hueniverse.com/oauth/guide/workflow/OAuth臨時憑證的用途是什麼?
我瞭解在OAuth訪問憑據的需要,因爲他們保證用戶已獲准進入他的資源,但是什麼是臨時證書的目的是什麼?他們顯然有必要將用戶重定向到服務器的登錄頁面,但爲什麼?沒有他們的服務會不會更安全?
需要臨時證書(讀取請求令牌)來確保訪問令牌的請求來自授權客戶端。
非常感謝,現在有道理。我想知道的另一件事是:一旦臨時證書被標記爲資源所有者授權,爲什麼需要將它們交換爲訪問令牌?這似乎是一個不必要的步驟? – 2012-07-18 11:38:11
Spec說'爲了確保用戶授予訪問權限是返回消費者完成該過程的相同用戶,服務提供者必須生成一個驗證碼:通過用戶傳遞給消費者的一個不可猜測的值,並且必須完成過程「但是IMO當訪問令牌不能使用callbackURL發送時(例如桌面/移動/嵌入式設備),最後一步實際上更有意義。 – 2012-07-18 14:43:48