基于我问here的问题,但我想从stackoverflow社区获得反馈。
似乎从我的测试中使用带有oauth的twitter API oauth_verifier检查应该由服务提供商(twitter)在http://oauth.net/core/diagram.png的步骤E中完成,而不是由api.twitter.com完成的。无论oauth_callback是oob还是常规回调网址,都会发生这种情况。
要在twitter上测试这一点很简单:只是不要在步骤F中发送oauth_verifier参数来获取访问令牌。
这个问题应该很容易重现,但如果有必要,我可以发布我的测试代码。
oauth_verifier是会话固定威胁解决方案的一部分,并且仅在oauth 1.0a规范中引入。因为这个Twitter API可能仍然没有强迫应用程序开发人员使用它来避免破坏向后兼容性。
ps - This question有点相关,但问题不再适用,因为twitter正在为两种类型的回调(oob和常规回调)返回oauth_verifier。
答案 0 :(得分:0)
我收到了官方twitter discussions的答复:
目前,API支持OAuth 1.0和OAuth 1.0a授权流程。我们强烈建议不要使用OAuth 1.0a的开发人员尽快更新代码。
