有人可以解释为什么在用户批准后请求令牌必须交换访问令牌吗?一旦用户批准访问,为什么不假装请求令牌是访问令牌?oauth中的请求和访问令牌
0
A
回答
0
简答:验证应用程序。
参见YouTube's OAuth Process Flow Diagram
OAuth是一个三足式协议。在这种特殊情况下,YouTube需要验证两个不同的实体 - a)用户和b)需要应用的应用程序。
现在,在用户授予访问权限(图中的步骤10)后,YouTube知道“用户x想要授予应用程序Y访问YouTube的权限”。但它尚未验证应用程序Y.流氓应用程序可以执行所有步骤直到步骤10假装成有效的已知应用程序 - 并且必须防止此类行为。
在最后3个步骤中,应用程序通过签署请求向YouTube验证自己。完成此操作后,YouTube可以安全地向应用程序提供访问令牌。
0
oauth系统检查请求令牌并检查是否允许该用户请求访问。然后它会发出一个访问令牌(有效期为一段时间)并对其进行数字签名。
签名很重要,因为这表明系统同意请求者被允许访问他所请求的内容。
看看:http://hueniverse.com/oauth/为易于吞咽指南如何整个事情的工作。
相关问题
- 1. OAuth请求和访问令牌
- 2. 请求OAuth访问令牌问题
- 3. linkedin oauth请求访问令牌
- 4. OAuth访问令牌请求失败(NSErrorFailingURLStringKey)
- 5. OAuth请求令牌和Twitter
- 6. OAuth 2请求新的访问令牌使用刷新令牌?
- 7. 访问令牌的Exchange Oauth请求令牌失败Google API
- 8. Azure AD OAuth访问令牌请求::: 400 - 错误的请求
- 9. oAuth:请求令牌使当前访问令牌无效
- 10. OAuth访问令牌请求(Twitter的API)和oauth_verifier场
- 11. OAuth和访问令牌
- 12. 为什么OAuth设计为具有请求令牌和访问令牌?
- 13. Twitter oAuth - 请求令牌
- 14. MobileFirst 7.1 OAuth令牌请求
- 15. 从BitBucket请求OAuth令牌
- 16. 如何从请求令牌获取使用java的OpenID + OAuth的访问令牌
- 17. WP7 C#检索Google OAuth 2.0请求的访问令牌
- 18. 安卓改造的OAuth访问令牌请求
- 19. 重复OAuth 2访问令牌请求的预期行为
- 20. 的OAuth 2访问令牌
- 21. JavaScript中的OAuth请求令牌
- 22. OAuth和访问令牌持续问题
- 23. 如何通过Google GData API请求OAuth 2.0访问令牌?
- 24. 如何通过ajax请求发送Twitter OAuth访问令牌?
- 25. OAuth访问令牌如何适用于API请求?
- 26. 如何使用访问令牌进行OAuth请求linkedin
- 27. 如何使用授权码向Battle.net OAuth请求访问令牌?
- 28. Ruby和Twitter:从请求令牌获取访问令牌?
- 29. Facebook4j与OAUTH访问令牌
- 30. 的Twitter的OAuth请求令牌到期
这不回答我的问题。我试图理解为什么该协议如此令人费解以及许多令牌交换。我可以看到整个事情与一个请求令牌一起工作。 – davidk01 2010-12-02 12:27:35