访问令牌(Oauth1)和承载令牌(Oauth2)之间的区别是什么

时间:2015-08-07 13:48:09

标签: oauth oauth-2.0

我对OAuth2标准很新,我想知道访问令牌(Oauth1)和不记名令牌(Oauth2)之间的区别。承载令牌是一种访问令牌吗?持票人代表什么?

1 个答案:

答案 0 :(得分:3)

OAuth 1.0中的访问令牌在受保护的资源请求上显示,并在该请求中的所有参数上显示签名。 OAuth 2.0中的访问令牌定义更灵活。一种实现是承载访问令牌,其中令牌的呈现者访问受保护资源而无需进一步签署请求。正如https://tools.ietf.org/html/rfc6750中的规范所说:

  

持有持票人令牌(#34;持票人")的任何一方均可使用   它可以访问相关的资源(没有演示   拥有加密密钥)。

OAuth 2.0也允许其他类型的访问令牌,包括那些需要所谓的"拥有证明" (PoP)与OAuth 1.0一样,但其标准正在制定中,请参阅https://tools.ietf.org/html/draft-ietf-oauth-pop-architecture

注意一个主要区别是承载令牌只能用于受TLS保护的通道,因为必须防止泄漏,而PoP令牌(在OAuth 1.0和2.0中)也可以在普通HTTP上使用。