Почему OAuth предоставляет и токен доступа, и секрет токена доступа? Почему не просто одно значение?
Почему OAuth включает в себя как токен доступа, так и секрет токена доступа как два отдельных значения? Как потребитель или OAuth, все рекомендации, которые я видел, указывают, что я должен хранить токен и секрет вместе и, по сути, рассматривать их как одно значение.
Так почему же спецификация требует двух значений в первую очередь?
2 ответа
На самом деле секрет токена доступа никогда не передается провайдеру. Вместо этого запросы передают токен доступа, а затем используют секрет для подписания запроса. Вот почему вам нужно и то, и другое: один для идентификации и один для защиты
Есть 2 секрета, один из которых является секретным, а другой - потребительским секретом. Секреты используются для подписи запросов (для генерации подписи oauth), но не передаются в заголовке запроса, где токен отправляется в заголовке для идентификации клиента и проверки, имеет ли он доступ.