我对OAUTH系统中“密钥”(或“令牌”)的理解就像识别发件人的“用户名”而非机密,但“秘密”实际上就像是“密码”。
但仔细阅读http://oauth.net/core/1.0/#signing_process上的OAUTH 1.0规范,在 消费者 询问 服务提供商时对于令牌(请求令牌或访问令牌),令牌和令牌机密以PLAIN(只是base-64编码)文本作为HTTP响应返回。
在搜索网页之后,它看起来并非所有情况,“请求令牌网址”是HTTP而非HTTPS,这意味着第三方可能会拦截令牌和令牌密钥。
到目前为止,我错了吗?我知道即使第三方拦截了令牌秘密,它仍然无用,因为消费者(或任何一方声称为消费者)的任何请求必须使用第三方通常不知道的消费者密钥(加上令牌密封)进行签名,但随后为什么我们需要令牌秘密呢?
答案 0 :(得分:1)
虽然允许使用http,但推荐(参见附录B.1)使用安全传输(https),否则您的问题非常有效。我知道Google肯定会在所有OAuth交易中使用https://,至少就获取令牌和机密而言,以及我迄今为止尝试过的所有API数据请求。