那些遇到过的问题

为什么OAuth设计为具有请求令牌和访问令牌?

Mor*_*eng 37 protocols oauth token

在OAuth协议中,服务使用者将要求用户在服务提供者域中授权请求令牌,然后从服务提供者交换请求令牌获取访问令牌.

我想知道为什么OAuth被设计为在协议中有两个令牌.

为什么不在此过程中使用一个令牌呢?也就是说,用户将授权令牌,并且服务消费者将使用令牌从提供者检索信息.

Ber*_*t F 28

出于可用性和安全性原因.

初学者OAuth指南:

https://hueniverse.com/beginners-guide-to-oauth-part-iii-security-architecture-e9394f5263b5

...虽然这主要是关于OAuth规范如何演变的工件,但是双令牌设计提供了一些可用性和安全性功能,这使得保持在规范中是值得的.OAuth在两个渠道上运作:用于吸引用户和请求授权的前台频道,以及消费者用于直接与服务提供商互动的后台频道.通过将访问令牌限制到反向通道,令牌本身仍然隐藏在用户之外.这允许访问令牌具有特殊含义并且具有比请求授权时暴露给用户的前通道请求令牌更大的尺寸,并且在某些情况下需要手动输入(移动设备或机顶盒) .

===

请注意,这个问题是一个骗局

为什么我们必须在OAuth中"更改令牌凭据的临时凭据"?

如果初学者指南中的解释不清楚,请阅读@npdoty对它的看法.

  • 链接 OAuth 初学者指南似乎已损坏。此外,“请求令牌”一词目前似乎未使用。它是否类似于 [The OpenIdConnect 1./OAuth2 文档](http://openid.net/specs/openid-connect-core-1_0.html) 中的授权代码? (2认同)

归档时间:

查看次数:

10751 次

最近记录:

7 年,11 月 前
为什么我们必须在OAuth中"更改令牌凭据的临时凭据"? 6
更多相关链接
相关归档
使用OAuth2为app*和*网站进行身份验证 63
Twitter API仅应用程序身份验证(使用linq2twitter) 13
使用 URLSearchParams 防止百分比编码 11
oauth1的示例使用google-api-java-oauth 9
Javascript链接等待弹出窗口返回 7
Google Spreadsheet API 在 Cron Job 上使用 PHP 形式 5
mendeley Python SDK中的身份验证问题 5
Ubuntu 14.04 PHP PECL Oauth错误 4
在AWS API Gateway中实现oauth 2
PHP:为确认电子邮件创建和存储令牌的最佳方式(3个选项) 1
难疑归档
电话和申请有什么区别? 3012
如何通过引用传递变量? 2480
在JavaScript中编码URL? 2392
什么是反思,为什么它有用? 2011
动态创建元素的事件绑定? 1677
Python中的静态方法? 1639
使用其名称(字符串)调用模块的函数 1580
从已从磁盘中删除的Git存储库中删除多个文件 1294
在Python中使用大写字母和数字生成随机字符串 1247
如何从git存储库中删除目录? 1138