2013-04-18 105 views

回答

11

扣除初始令牌谈判,OAuth是仍然比计算基本身份验证更贵,考虑到安全有效载荷的尺寸较大,和签名要求。需要额外的逻辑的非穷举性列表来进行:

  • 请求参数正常化
  • 请求URI正常化
  • 生成随机数
  • 请求签名计算
  • 反向整个上的接收处理end

与基本认证相比,它需要一个非常简单的哈希来计算延迟单个所需的标题 - OAuth无疑是更昂贵的认证。 但是,要认识到的重要的事情是两种认证机制服务于完全不同的目的。基本身份验证用于将客户端认证为主应用程序。 OAuth用于授权第三方从主应用程序访问客户端数据。两者都有自己的位置,选择一个应该由实现的特定用例驱动。