Chcę zaimplementować oauth 1 na mojej stronie i zastanawiałem się, czy muszę zmienić token żądania po zamianie na token dostępu?Żądania OAuth i Tokeny dostępowe
Dzięki z góry
Chcę zaimplementować oauth 1 na mojej stronie i zastanawiałem się, czy muszę zmienić token żądania po zamianie na token dostępu?Żądania OAuth i Tokeny dostępowe
Dzięki z góry
żądanie tokenów mają charakter tymczasowy i wyjątkowy. Po wydaniu jednego, należy o wszystkim zapomnieć: a) minęło kilka minut lub b) zostało użyte do zażądania tokena dostępu. Pozwolenie na ponowne użycie tokenów żądań otworzy cię do ataków z powtórzeniem http.
Sekcja 6 OAuth 1.0 specyfikacji czary to uwagę:
tokenu żądania: używany przez konsumenta do poprosić użytkownika o zgodę na dostęp do chronionych zasobów . Token żądania autoryzowanego przez użytkownika zamieniony na token dostępu, musi użyty tylko jeden raz i NIE MOŻE być używany do jakichkolwiek innych celów. To jest POLECAMY, że Żetony żądań mają ograniczone czasy ważności .
następne pytanie sir. Jeśli mam token dostępu, który wygasł, i odświeżyłem go, oznacza to, że wymienię go ponownie na inny token dostępu, więc nie przejdę przez pierwsze i drugie kroki oauth. Pytanie: czy wartość nowego tokenu dostępu różni się od tokena dostępu wygasłego? – omg
Tak, powinieneś wydać zaktualizowany token dostępu i zapomnieć o wygasłym –