11

我想oauth 1在我的网站中实施,我只是想知道我是否必须将request token交换一次更改为access token?

提前致谢

4

1 回答 1

22

请求令牌是临时的和唯一的。发出一个后,一旦 a) 几分钟过去或 b) 它用于请求访问令牌,您就应该忘记它。允许重用请求令牌会使您面临 http 重放攻击。

OAuth 1.0 规范的第 6 节详细说明了这一点:

请求令牌:消费者用来请求用户授权访问受保护资源。用户授权的请求令牌交换为访问令牌,只能使用一次,不得用于任何其他目的。建议请求令牌具有有限的生命周期。

于 2011-06-21T02:39:40.970 回答