11
Chcę zaimplementować oauth 1 na mojej stronie i zastanawiałem się, czy muszę zmienić token żądania po zamianie na token dostępu?Żądania OAuth i Tokeny dostępowe
Dzięki z góry
A
Odpowiedz
22
żądanie tokenów mają charakter tymczasowy i wyjątkowy. Po wydaniu jednego, należy o wszystkim zapomnieć: a) minęło kilka minut lub b) zostało użyte do zażądania tokena dostępu. Pozwolenie na ponowne użycie tokenów żądań otworzy cię do ataków z powtórzeniem http.
Sekcja 6 OAuth 1.0 specyfikacji czary to uwagę:
tokenu żądania: używany przez konsumenta do poprosić użytkownika o zgodę na dostęp do chronionych zasobów . Token żądania autoryzowanego przez użytkownika zamieniony na token dostępu, musi użyty tylko jeden raz i NIE MOŻE być używany do jakichkolwiek innych celów. To jest POLECAMY, że Żetony żądań mają ograniczone czasy ważności .
Powiązane problemy
- 1. Uwierzytelnione żądania w OAuth Java
- 2. Użycie MongoDB generowało _id jako "tajne dane" (np. Tokeny OAuth)
- 3. Jak przesłać i przetworzyć żądania z wnioskiem Oauth?
- 4. Przechowywanie tokeny dostępu i przenoszenia ich wygasania
- 5. jQuery - elementy dostępowe w tablicy
- 6. dane dostępowe wysłać zamówienie XHR w node.js
- 7. tokeny autoryzacji, pamięć lokalna i meteor
- 8. Twitter, oauth i coldfusion
- 9. clojure oauth i poświadczenia
- 10. Android i OAUTH 2.0
- 11. Django - OpenID i OAuth
- 12. Tokeny identyfikatorów weryfikacyjnych Firebase
- 13. dane dostępowe wartość atrybutu w kątowym 2
- 14. Unieważnij wszystkie tokeny gcm
- 15. Dostosowywanie kodu statusu HTTP OWIN/OAuth podczas odrzucania żądania tokena
- 16. elasticsearch - Powrót tokeny pola
- 17. OAuth - Nieprawidłowy token: Żeton żądania używany, gdy jest niedozwolony
- 18. Jak ustawić (OAuth tokena) upoważnienie nagłówku żądania Android OKHTTPClient
- 19. "Błąd podczas czytania wiadomości" podczas próby uzyskania tokenu żądania OAuth
- 20. Model użytkownika Django Oauth
- 21. Devise i OmniAuth zapamiętywanie OAuth
- 22. Pyparsing newbie setParseAction modyfikujące tokeny
- 23. Wtyczka Jenkins Email-ext - tokeny
- 24. Czy w OmniAuth można uzyskać tokeny Gmaila lub Xautha?
- 25. Czy potrzebne są oba tokeny csrf i captcha?
- 26. Email-ext i workflow/Pipeline - niektóre tokeny nie są rozszerzane?
- 27. Prawidłowe przekierowanie URI dla Google API i oauth 2.0
- 28. GroovyWS i złożone żądania
- 29. OAuth: przypadek użycia implementacji protokołu OAuth
- 30. Moduł API LinkedIn OAuth odświeżania
następne pytanie sir. Jeśli mam token dostępu, który wygasł, i odświeżyłem go, oznacza to, że wymienię go ponownie na inny token dostępu, więc nie przejdę przez pierwsze i drugie kroki oauth. Pytanie: czy wartość nowego tokenu dostępu różni się od tokena dostępu wygasłego? – omg
Tak, powinieneś wydać zaktualizowany token dostępu i zapomnieć o wygasłym –