想象一下,有一个名为ACMEAUTH的oAuth提供程序,它是一个Paypal esq提供程序。一个在线站点使用ACMEAUTH来处理与其产品/与其产品的付款/交互:
也许这是一种国际象棋游戏,两个玩家可以互相玩钱。每一个举动都需要ACMEAUTH进行注册/记录,最后由ACMEAUTH支付给获胜者。
在线站点托管国际象棋游戏,但不想处理付款,因此他们使用ACMEAUTH来进行支付。
玩家的每一个举动都需要发送到ACMEAUTH进行记录,以便当ACMEAUTH支付获胜者时,他们可以处理付款方面的纠纷(如果有的话)。
一旦用户使用oAuth授权了在线站点(因此他们不必每次都输入用户名/密码),他们就可以玩国际象棋游戏,并且该站点可以使用oAuth令牌注册玩家的移动。但是,玩家可能会担心,该站点将运行脚本,这些脚本会自动为用户播放移动动作,从而导致用户丢失,站点获胜并获得收益。 当玩家确认移动后,会向ACMEAUTH发送一条消息,其中包含相关详细信息。
我的问题是,是否有ACMEAUTH可以实施的机制/体系结构来保护用户免受这种情况的影响?我了解到,贝宝提供了“安全按钮”,它们在其中加密发送回给他们的信息,以便不能在按钮上更改数据,但是这很好,因为他们知道将要支付的金额。我所概述的场景是否有意义?如果是,是否有标准的做法?我正在努力地为Google寻找合适的术语来找到答案,对此进行哲学上的概述将是很棒的。谢谢