我对为什么 OAuth 1.0 请求令牌被分成密钥和秘密感到困惑。我无法弄清楚消费者向用户透露秘密以及密钥会导致哪些攻击向量成为可能。中间人仍然没有消费者秘密,因此无法代表消费者伪造任何请求。此外,理论上,任何能够查看请求令牌秘密的中间人也有能力伪造用户的秘密,这样即使消费者对用户隐藏秘密,MITM 也会能够冒充用户并造成同样的损害。
似乎我在这里遗漏了一些东西......向用户隐藏秘密一定有某种优势,否则为什么甚至首先要有一个“秘密”?它是否与保持 OAuth 请求签名更难伪造有关?
我对为什么 OAuth 1.0 请求令牌被分成密钥和秘密感到困惑。我无法弄清楚消费者向用户透露秘密以及密钥会导致哪些攻击向量成为可能。中间人仍然没有消费者秘密,因此无法代表消费者伪造任何请求。此外,理论上,任何能够查看请求令牌秘密的中间人也有能力伪造用户的秘密,这样即使消费者对用户隐藏秘密,MITM 也会能够冒充用户并造成同样的损害。
似乎我在这里遗漏了一些东西......向用户隐藏秘密一定有某种优势,否则为什么甚至首先要有一个“秘密”?它是否与保持 OAuth 请求签名更难伪造有关?