根据https://dev.twitter.com/docs/api/1/post/oauth/request_token,强烈建议您对所有 OAuth 授权步骤使用 HTTPS。但是,我发现回调 url 没有遵循这个建议。如果给出 https 回调 url 与给出 http 回调 url 有区别吗?
例如,
Request URL:
POST https://api.twitter.com/oauth/request_token
Authorization Header:
oauth_callback="http%3A%2F%2Fmyapp.com%3A3005%2Ftwitter%2Fprocess_callback",
回调 URL 只需要 url 格式,Oauth 规范不要求它是 https。
某些 Oauth 提供商(如 SalesForce)确实强制使用 https。
然而,大多数服务提供商只是强制您注册回调 url,以便服务提供商可以使用您的消费者密钥/秘密验证在 oauth 舞蹈期间提供了正确的回调 url。
此外,Android 中的移动应用程序可以创建特殊的协议处理程序,允许定义诸如“linkedin://callback”之类的回调处理程序(让 Android 应用程序处理linkedin oauth 回调)。
在这种情况下,强制使用 https 是没有意义的,因为它会强制移动应用程序将其 oauth 舞蹈卸载到远程服务器,在某些情况下,在应用程序本身中执行此操作是完全可以接受的。
还要记住,当访问令牌被泄露时,希望进行安全 api 调用的人也需要访问消费者密钥/消费者秘密。