可能重复:
Why does OAuth provide both an access token and an access token secret? Why not just a single value?
我很困惑为什么将OAuth 1.0请求令牌拆分为密钥和密钥。我无法弄清楚消费者使用密钥向用户泄露秘密可以使攻击向量成为可能。一个中间人仍然不会有消费者的秘密,因此无法代表消费者伪造任何请求。此外,任何具有查看请求令牌秘密能力的中间人,理论上也能够伪造用户,这样即使消费者隐藏用户的秘密,MITM也会能够冒充用户并造成同样的伤害。
似乎我在这里遗漏了一些东西......隐藏用户秘密必须有某种优势,否则为什么甚至首先要有“秘密”?是否与难以伪造OAuth请求签名有关?