Ho letto il RFC OAuth 1.0a: link . La maggior parte è abbastanza chiara. Tuttavia, ho alcune domande:
-
Non riesco a capire perché viene inviato
oauth_callback
quando si ottiene un token di richiesta non autorizzato. Voglio dire, non ha più senso che venga inviato quando si reindirizza l'utente alla pagina di autorizzazione? In questo modo, il server non deve memorizzareoauth_callback
, che probabilmente sarà lo stesso per tutti i token per lo stesso consumatore. -
Supponiamo che non voglia memorizzare
oauth_callback
. Chiedo ai clienti di inviareoauth_callback
quando si richiede un token non autorizzato con il valoreoob
. Quindi chiedo ai clienti di inviare iloauth_callback
nella stringa di query della pagina di autorizzazione (con l'URL di callback reale). Dopo aver letto questa sezione capisco che questo è conforme alla RFC e comunque sicuro. Tuttavia, mi piacerebbe sentire un secondo parere