HTTPS 上是否需要 OAuth(2-legged)。在 3-legged 场景中,我们使用 oauth 进行委托。但是 Oauth(2-legged) over https 的目的是什么。
在我的场景中,我既是消费者又是用户,所以不需要授权,我使用 https,https 不可重播,也是安全通道。你说什么我应该使用 ouath
我不是在谈论 3-legged 或 http
问问题
421 次
1 回答
0
根据 oAuth 规范,第 11.3 节,
虽然 OAuth 提供了一种验证请求完整性的机制,但它不保证请求的机密性。除非采取进一步的预防措施,否则窃听者将拥有对请求内容的完全访问权限。服务提供商应仔细考虑可能作为此类请求的一部分发送的数据类型,并应采用传输层安全机制来保护敏感资源。
很明显,如果您的请求没有安全数据,例如 user_id=2&messageId=33,则不需要 https,但在 2-legged scenerio 中,您在获取访问令牌时传递密码,您必须使用 https那时候。
在这两种情况下,无论是 2-legged 还是 3-legged,规则是,当您更新/获取安全数据(例如信用卡更新、付款、密码)时,您必须使用 https。
于 2012-01-13T06:50:09.433 回答