根据https://dev.twitter.com/docs/api/1/post/oauth/request_token,强烈建议您对所有OAuth授权步骤使用HTTPS。但是,我发现回调网址没有遵循这个建议。如果给出了一个https回调网址与一个http回调网址给出了什么区别?
例如,
Request URL:
POST https://api.twitter.com/oauth/request_token
Authorization Header:
oauth_callback="http%3A%2F%2Fmyapp.com%3A3005%2Ftwitter%2Fprocess_callback",
答案 0 :(得分:1)
回调网址只需要采用网址格式,Oauth规范并未强制要求它为https。
某些Oauth提供程序(如SalesForce)会强制使用https。
然而,大多数服务提供商只是强迫您注册回调网址,以便服务提供商可以使用您的消费者密钥/秘密验证在舞会舞会期间是否提供了正确的回调网址。
此外,Android中的移动应用程序可以创建特殊的协议处理程序,允许定义回调处理程序,如“linkedin:// callback”(让Android应用程序处理linkedin oauth回调)。
在这种情况下强制使用https是没有意义的,因为它会迫使移动应用程序将他们的oauth舞蹈卸载到远程服务器,在某些情况下,它在应用程序本身中完全可以接受。 / p>
另外请记住,当访问令牌受到威胁时,希望进行安全api调用的人也需要访问消费者密钥/消费者秘密。