3

我正在开发一个需要实现三足 OAuth 2.0 流程的网络应用程序。Smartsheet API 文档http://smartsheet.com/developers/api-documentation说该 API 支持标准 OAuth 2.0 流程。然而,经过仔细检查,我发现访问和刷新令牌管理操作要求我必须通过哈希发送,而不是通过客户端密码(这似乎是其他 API 中的标准行为)发送,引用“SHA-256与管道和授权代码连接的客户端密码的哈希值。client_secret 永远不会与请求一起发送。

鉴于这与标准 OAuth 2.0 流程不同,Smartsheet API 是否支持标准行为?

4

1 回答 1

2

不支持在 URL 上以明文形式传递秘密。文档中描述的流程是一个 OAuth2 流程,尽管不可否认它不是 SaaS 供应商最常用的通用流程。OAuth2 规范允许对令牌端点进行扩展,以适应授权服务器的安全要求,而 SHA256 哈希就是这样一种扩展。

于 2013-10-30T21:33:18.960 回答