有人可以解释为什么在用户批准后必须将请求令牌交换为访问令牌吗?一旦用户批准访问,为什么不假装请求令牌是访问令牌?
问问题
375 次
2 回答
0
oauth 系统检查请求令牌并检查该用户是否允许所请求的访问。然后它发出一个访问令牌(在一段时间内有效)并对其进行数字签名。
签名很重要,因为这表明系统同意请求者被允许访问他所请求的访问。
看看:http ://hueniverse.com/oauth/了解整个事情如何运作的易于理解的指南。
于 2010-12-02T11:24:08.727 回答
0
简短答案:验证应用程序。
OAuth 是一个 3-Leged 协议。在这种特殊情况下,YouTube 需要对两个不同的实体进行身份验证 - a) 用户和 b) 需要访问权限的应用程序。
现在,在用户授予访问权限后(图中的第 10 步),YouTube 知道“用户 x 想要授予应用程序 Y 访问 YouTube”。但它尚未验证应用程序 Y。流氓应用程序可以执行步骤 10 之前的所有步骤,假装是有效的已知应用程序 - 必须防止这种行为。
在最后 3 个步骤中,应用程序通过签署请求向 YouTube 验证自己。完成此操作后,YouTube 可以安全地向应用程序提供访问令牌。
于 2010-12-02T13:33:06.340 回答