OAuth 1.0协议没有指出生成令牌的算法服务器。我应该使用什么算法?随机序列好吗?
答案 0 :(得分:3)
每组凭据(客户端,临时,令牌)的秘密部分应该是随机的,并且只要合理可能。您希望阻止任何人通过拦截请求并破解签名来发现秘密。
OAuth 1.0a规范中的Entropy of Secrets部分详细介绍了(但不多)。
我通常从/dev/urandom(在Linux系统上)读取以获得12或15个随机字节的二进制字符串,然后对其进行base64编码。您可能会使客户端保密,因为它很少发生变化。
答案 1 :(得分:0)
我自己没有实现服务器,但随机应该工作。类似于你在客户端使用nonce()的东西。