在OAuth协议中,服务消费者会要求用户在服务提供者域中授权一个请求令牌,然后将该请求令牌与服务提供者进行交换,以获取访问令牌。
我想知道为什么OAuth的设计中需要使用两个令牌。
为什么不只使用一个令牌呢?也就是说,用户应该授权该令牌,然后服务消费者可以使用该令牌从提供者检索信息。
我想知道为什么OAuth的设计中需要使用两个令牌。
为什么不只使用一个令牌呢?也就是说,用户应该授权该令牌,然后服务消费者可以使用该令牌从提供者检索信息。
https://hueniverse.com/beginners-guide-to-oauth-part-iii-security-architecture-e9394f5263b5
...尽管OAuth规范的演变使得它成为了一个人工制品,但是两个令牌设计提供了一些可用性和安全性功能,这使得它值得留在规范中。OAuth在两个通道上运行:前端通道用于与用户进行交互并请求授权,后端通道由消费者直接与服务提供者交互。通过将访问令牌限制为后端通道,令牌本身对用户保密。这允许访问令牌承载特殊含义,并且具有比前端通道请求令牌更大的大小,在某些情况下需要手动输入(移动设备或机顶盒)。===
请注意,此问题是OAuth为什么要将临时凭据更改为令牌凭据的副本。