Sto cercando di capire il protocollo oauth. Attualmente sto esaminando la sezione delle credenziali temporali della specifica di oauth 1.0 .
Non riesco a capire perché il segreto sia necessario insieme alle credenziali temporali. Il segreto viene inviato con il token stesso. Quindi, se qualcuno oltre all'app può ottenere il token, può ottenere il segreto. destra? Quindi qual è la ragione per aggiungere un segreto?
Il segreto viene inviato una sola volta dal provider OAuth al server dell'app tramite connessione SSL e quindi archiviato sul sito dell'app non lasciandolo più tardi, mentre parte aperta del token viaggia da un client al sito dell'app ad ogni richiesta (per ora non ci sono cache di sessione ). SSL è progettato per resistere allo sniffing, essere implementato correttamente e impiegare gli ultimi algoritmi forti, quindi senza compromettere algoritmi SSL, schema di certificazione SSL o sito stesso dell'app (forse il link più debole ...), non è praticamente possibile ottenere segreti e falsificare falsi richiesta da parte di clienti non autorizzati.
Leggi altre domande sui tag authentication oauth encryption