HTTP上是否需要OAuth(2-legged)。 在三方案例中,我们使用oauth进行委派。 但是Oauth(双腿)对https的目的是什么。
在我的场景中,我是消费者,也是用户,因此无需授权 我使用https,https不可重播,也是安全通道。 我说你应该使用ouath
我不是在谈论三条腿或http
答案 0 :(得分:0)
根据oAuth规范,section 11.3,
虽然OAuth提供了一种验证完整性的机制 请求,它不保证请求机密性。除非 采取进一步的预防措施,窃听者将有充分的访问权限 请求内容。服务提供商应该仔细考虑这些种类 数据可能作为此类请求的一部分发送,并应采用 传输层安全机制,以保护敏感资源。
很明显,如果您的请求没有安全数据,例如user_id = 2& messageId = 33,则不需要https,但在2-legged scenerio中,您在获取访问令牌时传递密码,必须在那时使用https。
在这两种情况下,无论是2脚还是3脚,规则是,当您更新/获取安全数据(例如信用卡更新,付款,密码)时,您必须使用https。