是否有OAuth实施或个人资料在一次互动中使用多个授权令牌的示例?这可以用vanilla OAuth(而不是扩展名)来完成吗?是否有关于在一个请求中使用多个令牌的原因或反对的讨论?
OAuth WRAP使用两个令牌,但只有一个是授权令牌;另一个是请求令牌,用于获取新的授权令牌。这背后的原因是什么?这会将会话烘焙到单个授权令牌中,只是为了使令牌传递更直接吗?有人建议通过这种方式跨多个交互构建OAuth授权令牌吗?
答案 0 :(得分:1)
标准OAuth中的“受保护资源请求”(即检索某些需要您使用OAuth进行身份验证的资源的请求)只携带一个OAuth令牌。消费者密钥也被发送。对应于这些令牌中的每一个的秘密一起用于生成签名。
WRAP还具有访问令牌的概念,但它引入了刷新令牌的概念,该令牌不包含在受保护的资源请求中,而是在从客户端到服务提供者的直接请求中发送当客户端的访问令牌已过期且需要获取新令牌时。
与OAuth令牌不同,WRAP令牌没有相关的秘密,而是更像是临时会话标识符。由于此令牌可能在浏览器cookie或其他浏览器状态中公开,因此WRAP允许该令牌短暂存在,允许在用户注销时或在一段短暂的不活动时间之后丢弃该令牌。刷新令牌只为客户端和服务提供者所知,因此寿命更长。
OAuth中不需要刷新令牌,因为令牌密钥仅作为客户端和服务提供商知道的秘密。
两个协议都有两个值供客户端跟踪,其中一个比另一个更私密,但WRAP以不同的方式使用更多的私有令牌,这样实现者就不需要生成和验证签名。 / p>