Подтвердить что ты не робот

Требует ли Oauth 2.0 потребительский ключ/секрет потребителя

Таким образом, очевидно, что при использовании OAuth 1.0 вам необходимо получить ключ от потребителя и секрет потребителя от поставщика API...

Но тогда, когда я пытаюсь использовать API OAuth 2.0, такие как Facebook, Google Oauth 2.0 и т.д. Мне никогда не нужно было приобретать секретный ключ потребителя/потребителя (я приобрел секретный код приложения и приложение для Facebook, но они отличаются от потребительского ключа/потребительский секрет, я прав?)

Итак, мой вопрос... верно ли, что при использовании Oauth 2.0 вам не нужно иметь потребительский ключ/потребительский секрет, как в Oauth 1.0

Также нет меток подписи (HMAC-SHA1 и т.д.), необходимых для Oauth 2.0, верно? HMAC-SHA1 относится только к Oauth 1.0, правильно?

4b9b3361

ОТВЕТЫ

Ответ 1

  • Поставщики OAuth 2 обычно выдают вам идентификатор для вашего клиента/приложения и некоторых секретных/паролей, проект OAuth вызывает эти идентификатор клиента и секрет клиента. Они используются для проверки того, действительно ли ваш запрос был выдан вашим приложением. Тем не менее, OAuth охватывает различные потоки авторизации грантов, которые более или менее безопасны и не все требуют какого-то тайного. Google называет их идентификатором клиента и секретом клиента, Facebook называет их идентификатором App и App Secret, но они оба одинаковы.
  • Да, все криптографические шаги были перемещены на сервер в OAuth 2.

Ответ 2

Поток полномочий авторизации, о котором вы говорите, известен как поток грантов клиентских полномочий в спецификации OAuth 2. Он используется для аутентификации только для приложений. Это означает, что ни один пользователь не участвует. Типичным примером является отображение твиттера на домашней странице.

Обычно приложение передает на сервер как клиентский ключ (или идентификатор приложения), так и секрет потребителя (или секрет приложения) через HTTPS. Этот запрос защищен только HTTPS; нет дополнительного шифрования. Сервер возвращает токен, который вы можете использовать с этой точки, чтобы делать запросы к API, поскольку он не требует контекста пользователя.

Ключ потребителя (или идентификатор приложения) идентифицирует ваше приложение и может иметь значимое значение. Обычно вы этого не изменяете (или не можете). Секрет потребителя может быть восстановлен, если вы считаете, что он был скомпрометирован. Это объясняет, почему есть два ключа.

Регенерация секретности пользователя отличается от недействительности токена, который не поможет вам, если пользовательский ключ и секрет потребителя были скомпрометированы.

Ответ 3

Оба одинаковы. используемая терминология отличается приложениями/пользователями/клиентами. thats it.Both - то же самое.