Quelqu'un peut-il expliquer pourquoi les jetons de demande doivent être échangés contre des jetons d'accès après l'approbation de l'utilisateur? Pourquoi ne pas prétendre que le jeton de requête est le jeton d'accès une fois que l'utilisateur a un accès approuvé?demande et jetons d'accès dans oauth
Répondre
Réponse courte: Pour authentifier l'application.
Se référer à YouTube's OAuth Process Flow Diagram
OAuth est un protocole trois pattes. Dans ce cas particulier, YouTube doit authentifier deux entités différentes: a) L'utilisateur et b) L'application qui a besoin d'accss.
Désormais, une fois que l'utilisateur a accordé l'accès (étape 10 dans le diagramme), YouTube sait que «L'utilisateur x souhaite accorder à l'application Y un accès à YouTube». Mais il n'a pas encore vérifié l'application Y. Une application malveillante peut effectuer toutes les étapes jusqu'à l'étape 10 en prétendant être une application valide et connue - et une telle action doit être évitée. Dans les trois dernières étapes, l'application se connecte à YouTube en signant la demande. Une fois cela fait, YouTube peut fournir en toute sécurité un jeton d'accès à l'application.
Le système oauth vérifie le jeton de requête et vérifie si l'accès demandé est autorisé pour cet utilisateur. Il émet ensuite un jeton d'accès (valide pour une certaine période) et le signe numériquement.
La signature est importante, car c'est ce qui montre que le système accepte que le demandeur ait accès à l'accès qu'il a demandé.
Jetez un coup d'oeil à: http://hueniverse.com/oauth/ pour un guide facile à avaler à comment le tout fonctionne.
- 1. Facebook REST Api avec OAuth jetons
- 2. OAuth: Stockage de jetons d'accès et de secret
- 3. OAuth Demande jeton = null dans l'application android
- 4. Zend OAuth avec des jetons d'accès simples Twitter
- 5. question android OAuth, comment envoyer demande de demande de jeton
- 6. Twitter Jeton de demande oAuth C#
- 7. Twitter jeton de demande OAuth en JavaScript
- 8. web2py, OAuth et LinkedIn
- 9. Enregistrer les jetons d'accès OAuth WRAP directement sur l'ordinateur client dans un cookie?
- 10. problème onSaveInstanceState tout en faisant la demande oAuth
- 11. Erreur avec méthode non définie après OAuth demande
- 12. CSRF et des jetons qui changent constamment
- 13. Jeton de demande OAuth pour une application installée
- 14. autre twitter oAuth cURL demande d'accès jeton qui échoue
- 15. OAuth et userid
- 16. Vimeo Desktop App OAuth
- 17. Rebol et oAuth: comment?
- 18. Twitter, oauth et coldfusion
- 19. Uploadify et rails 3 jetons d'authenticité
- 20. OAuth API jeton de demande Signature non valide
- 21. Blackberry et OAuth Question
- 22. OAuth et Jtwitter
- 23. L'application Facebook oauth tokens expire?
- 24. Twitter API Problème: Le jeton de demande OAuth utilisant les travaux GET, le test POST échoue
- 25. Twitter OAuth - Stockage Tokens dans MySql
- 26. Renvoyer plusieurs jetons dans ocamllex
- 27. trouver et remplacer les jetons en javascript
- 28. Génération de jetons CSRF
- 29. Parsing facebook oauth chaîne access_token
- 30. Concevoir et google oauth. (ror3)
Cela ne répond pas à ma question. J'essaie de comprendre pourquoi le protocole est si compliqué avec tant d'échanges symboliques. Je peux voir le tout fonctionner avec un seul jeton de demande. – davidk01