Может кто-нибудь объяснить, почему токены запроса должны быть обменены на токены доступа после утверждения пользователем? Почему бы не притвориться, что токен запроса является токеном доступа, как только пользователь одобрил доступ?запрос и токены доступа в oauth
ответ
Краткий ответ: аутентификация приложения.
Обратитесь к YouTube's OAuth Process Flow Diagram
OAuth представляет собой 3-протокол ножек. В этом конкретном случае YouTube должен аутентифицировать два разных объекта: a) пользователь и b) приложение, которому требуется accss.
Теперь, после того как пользователь предоставляет доступ (шаг 10 на диаграмме), YouTube знает, что «Пользователь x хочет предоставить Y доступ к Y для YouTube». Но он еще не подтвердил приложение Y. Приложение-изгои может выполнить все шаги до шага 10, притворяясь действительным известным приложением, - и такое действие должно быть предотвращено.
В последних трех шагах приложение проверяет себя на YouTube, подписывая запрос. Как только это будет сделано, YouTube может безопасно предоставить токен доступа к приложению.
Система oauth проверяет токен запроса и проверяет, разрешен ли доступ для этого пользователя. Затем он выдает токен доступа (действительный на определенный период) и подписывает его цифрой.
Подпись важна, так как это показывает, что система согласна с тем, что запрашивателю разрешен доступ, который он запросил.
Посмотрите на: http://hueniverse.com/oauth/ для простого проглатывания руководства о том, как все это работает.
- 1. Jawbone UP API oAuth и токены доступа
- 2. Facebook API и токены доступа
- 3. Как использовать токены oAuth
- 4. Недействительные токены OAuth
- 5. Различные токены доступа каждый раз - используя Google OAuth и Authlogic
- 6. Можно обменять токены доступа OAuth между V2 и V3?
- 7. Facebook Токены доступа
- 8. Что означают токены и токены в OAuth 2?
- 9. Как использовать токены доступа OAuth для запросов API?
- 10. OAuth-сервер, сохраняющий токены пользователя
- 11. OAuth 2.0 (токены) для входа в систему
- 12. Как отменить токены доступа OAuth в ADFS 3.0?
- 13. Как извлечь токены доступа из oauth для ссылок в C#?
- 14. WP7 C# Извлечь токены доступа запроса Google OAuth 2.0
- 15. Twitter oAuth - Запросить токены
- 16. Как сохранить токены доступа oauth в весенней безопасности JDBC?
- 17. Как обновить токены в потоке OAuth?
- 18. Токены доступа - расширение - ошибка
- 19. Facebook Токены доступа и точки множественного доступа
- 20. SkyDrive и токены постоянного доступа?
- 21. Почему для Google API работают только токены доступа OAuth 2.0?
- 22. Есть ли у пользователей Facebook Oauth 2.0 токены доступа?
- 23. Различные токены доступа от Facebook
- 24. Могут ли маркеры доступа oauth доступа?
- 25. Как отменить токены Асаны OAuth?
- 26. DotNetOpenAuth и токены обновления
- 27. Где хранить токены доступа?
- 28. Токены/точки доступа
- 29. Как безопасно вставлять токены доступа в javascript?
- 30. Даты доступа и облачные лицензии на токены в реальном времени
Это не отвечает на мой вопрос. Я пытаюсь понять, почему протокол настолько запутан с таким количеством токенов. Я вижу, что все работает с одним токеном запроса. – davidk01 2010-12-02 12:27:35