Gestione dell'URL di callback OAuth

2

Ho letto il RFC OAuth 1.0a: link . La maggior parte è abbastanza chiara. Tuttavia, ho alcune domande:

  1. Non riesco a capire perché viene inviato oauth_callback quando si ottiene un token di richiesta non autorizzato. Voglio dire, non ha più senso che venga inviato quando si reindirizza l'utente alla pagina di autorizzazione? In questo modo, il server non deve memorizzare oauth_callback , che probabilmente sarà lo stesso per tutti i token per lo stesso consumatore.

  2. Supponiamo che non voglia memorizzare oauth_callback . Chiedo ai clienti di inviare oauth_callback quando si richiede un token non autorizzato con il valore oob . Quindi chiedo ai clienti di inviare il oauth_callback nella stringa di query della pagina di autorizzazione (con l'URL di callback reale). Dopo aver letto questa sezione capisco che questo è conforme alla RFC e comunque sicuro. Tuttavia, mi piacerebbe sentire un secondo parere

posta Mosty Mostacho 04.11.2016 - 17:02
fonte

0 risposte

Leggi altre domande sui tag