Мне интересно, какие причины для OAuth 1.0 требуют, чтобы обмен данными с провайдером данных проходил в оба конца, чтобы обменять авторизованный токен запроса на токен доступа.
Мое понимание рабочего процесса OAuth 1.0:
-
Запрос сайта (потребителя) получает маркер запроса с сайта поставщика данных (поставщика услуг).
-
Запрос сайта запрашивает сайт поставщика данных для аутентификации пользователя, передавая обратный вызов.
-
После того как пользователь был аутентифицирован и разрешен запрашивающий сайт, пользователь направляется обратно на запрашивающий сайт (потребитель) через предоставленный обратный вызов, который передает обратно текущий авторизационный токен и код подтверждения.
-
Запрашивающий сайт обменивает токен запроса на токен доступа.
-
Запрашивающий сайт использует токен доступа для получения данных с сайта поставщика данных.
Предполагая, что я правильно понял, почему callback просто не предоставил токен доступа запрашивающему сайту непосредственно на шаге 3, исключая шаг 4? Почему требуется обменять токен запроса для необходимого токена доступа? Он существует исключительно для потребителей, которым требуется, чтобы пользователи вводили код проверки вручную, с мыслью, что он будет короче и проще, чем сам токен доступа?