是否有一個OAuth實施或配置文件在一次交互中使用多個授權令牌的示例?這可以用香草OAuth(而不是擴展名)完成嗎?是否有任何關於在一個請求中使用多個令牌的原因的討論?具有多個授權令牌的OAuth示例?
OAuth WRAP使用兩個令牌,但只有一個是授權令牌;另一個是用於獲取新授權令牌的請求令牌。這背後的推理是什麼?這會不會僅僅爲了讓令牌傳遞更簡單而將會話燒入單個授權令牌?有人建議在多種交互中以這種方式構建OAuth授權令牌嗎?
在標準OAuth中,「受保護的資源請求」(即請求檢索某些需要使用OAuth進行身份驗證的資源)只攜帶一個OAuth令牌。消費者密鑰也被髮送。與這些令牌中的每一個相對應的祕密一起用於生成簽名。
WRAP也有一個訪問令牌的概念,但它引入了一個刷新令牌是不列入受保護資源的請求,但在直接請求將被髮送從客戶機到服務提供商時,客戶端的訪問概念令牌已過期並需要獲取新令牌。
與OAuth令牌不同,WRAP令牌沒有關聯的祕密,而是更像是臨時會話標識符。由於此令牌可能會暴露在瀏覽器Cookie或其他瀏覽器狀態中,因此WRAP允許該令牌的壽命較短,允許在用戶註銷或短時間不活動後丟棄該令牌。刷新令牌僅爲客戶端和服務提供商所知,因此壽命更長。
刷新令牌在OAuth中不是必需的,因爲令牌機密僅用作客戶端和服務提供商已知的祕密。
這兩個協議都有兩個值供客戶端跟蹤,其中一個比另一個私有更多,但WRAP以不同方式使用更多私有令牌,因此實現者不需要生成和驗證簽名。