有人可以解释为什么在用户批准后必须交换请求令牌以获取访问令牌吗?一旦用户批准访问权限,为什么不假装请求令牌是访问令牌?
答案 0 :(得分:0)
oauth系统检查请求令牌并检查是否允许该用户请求访问。然后它发出访问令牌(在一段时间内有效)并对其进行数字签名。
签名很重要,因为这表明系统同意允许请求者访问他所请求的访问权。
请查看:http://hueniverse.com/oauth/,了解整个过程的易操作指南。
答案 1 :(得分:0)
简答:验证应用程序。
请参阅YouTube's OAuth Process Flow Diagram
OAuth是一种三方协议。在这种特殊情况下,YouTube需要对两个不同的实体进行身份验证 - a)用户和b)需要评估的应用程序。
现在,在用户授予访问权限后(图中的步骤10),YouTube知道“用户x想要授予应用程序Y访问权限”。但它尚未验证应用程序Y.流氓应用程序可以执行步骤10中的所有步骤,假装是有效的已知应用程序 - 并且必须阻止此类操作。
在最后3个步骤中,应用程序通过签署请求来验证自己的YouTube。完成此操作后,YouTube可以安全地为应用程序提供访问令牌。