我在数据库中使用隐藏方法加密了密码。我想在PLAINTEXT签名模式中使用Oauth,以便能够从oauth_signature属性中提取consumer_secret。首先,这样做是个好主意吗?第二,如果我无法猜出原始consumer_secret的长度,我该怎么办呢。
答案 0 :(得分:1)
首先:不,这不是个好主意。你为什么这样做?
第二:秘密的整个想法是你不应该猜测它们。
如果您是API使用者或使用OAuth进行通信的API提供商,则任何一方必须从一开始就完全了解密钥和秘密,否则无法完成该过程。这适用于任何签名方法。
话虽如此,如果您收到使用PLAINTEXT signing method签名的请求,则消费者密码位于oauth_signature参数中,位于&字符之前。
编辑:如果你存储了散列的秘密,那么你需要在比较和验证之前以相同的方式散列传入的秘密。