OAuth-访问安全资源并发回令牌和令牌\u Secret是否安全
我对OAuth及其在访问受保护的资源时对令牌和令牌的使用感到困惑。当授予访问令牌时,令牌和令牌_secret被发送回用户进行签名是有意义的。但是,我发现有3个使用OAuth 1.0的站点要求令牌密钥不仅用于签名,而且在访问受保护的资源时还应与令牌一起发送。对我来说,从安全角度来看,这完全没有意义,而且似乎与OAuth规范中推荐的内容背道而驰:OAuth-访问安全资源并发回令牌和令牌\u Secret是否安全,oauth,Oauth,我对OAuth及其在访问受保护的资源时对令牌和令牌的使用感到困惑。当授予访问令牌时,令牌和令牌_secret被发送回用户进行签名是有意义的。但是,我发现有3个使用OAuth 1.0的站点要求令牌密钥不仅用于签名,而且在访问受保护的资源时还应与令牌一起发送。对我来说,从安全角度来看,这完全没有意义,而且似乎与OAuth规范中推荐的内容背道而驰: 那么,我是否遗漏了一些明显的东西,或者我是否正确地认为token_secret应该只用于签名,而不应该发送回服务器。什么API会返回带有响应的访问令牌?我
那么,我是否遗漏了一些明显的东西,或者我是否正确地认为token_secret应该只用于签名,而不应该发送回服务器。什么API会返回带有响应的访问令牌?我找到了3个站点,并分别与它们联系,以了解它们为什么这样做。从您的评论中,您是否同意在访问受保护的资源时不应将令牌_机密发送回,并且仅应将其用于签名?还是我没抓住重点?我仍然在熟悉OAuth的来龙去脉,所以很可能是我错了。只是想了解一下什么是正确的用法。按照我对OAuth协议的理解,你是正确的:令牌和令牌\u secret用于生成签名,在客户端收到后不应通过网络发送。令牌通常通过网络发送,但秘密不应通过网络发送。一个例外是刷新令牌,当使用长寿命秘密签名请求时,短寿命秘密将被返回。嗯,我想知道我是否将受保护的资源请求误认为是刷新令牌请求。我得重新检查一下。感谢您指出这一点。什么API会返回带有响应的访问令牌?我已经找到了3个站点,并分别与它们联系,了解它们为什么这样做。从您的评论中,您是否同意在访问受保护的资源时不应将令牌_机密发送回,并且仅应将其用于签名?还是我没抓住重点?我仍然在熟悉OAuth的来龙去脉,所以很可能是我错了。只是想了解一下什么是正确的用法。按照我对OAuth协议的理解,你是正确的:令牌和令牌\u secret用于生成签名,在客户端收到后不应通过网络发送。令牌通常通过网络发送,但秘密不应通过网络发送。一个例外是刷新令牌,当使用长寿命秘密签名请求时,短寿命秘密将被返回。嗯,我想知道我是否将受保护的资源请求误认为是刷新令牌请求。我得重新检查一下。谢谢你指出这一点。