为什么OAuth将访问令牌和访问令牌机密包含为两个单独的值?作为消费者或OAuth,我所看到的所有建议都表明我应该将令牌和秘密存储在一起,并且基本上将它们视为一个值。
那么为什么规范首先需要两个值?
答案 0 :(得分:23)
实际上,访问令牌秘密永远不会传输给提供者。相反,请求传输访问令牌,然后使用该秘密对请求进行签名。这就是为什么你需要两个:一个用于识别,一个用于保护
答案 1 :(得分:0)
有2个秘密,一个是令牌秘密,另一个是消费者秘密。秘密用于对请求进行签名(以生成oauth签名),但不会在请求标头中传输,其中标头在标头中发送以标识客户端并验证它是否具有访问权限。