我想在我的网站上实现oauth 1,我想知道一旦请求令牌被交换成访问令牌后是否需要更改?
先谢谢你。
1个回答
22
请求令牌意在为临时和唯一的。发放后,在以下情况下应忘记所有相关内容,即 a) 几分钟已过去,或者 b) 它已被用于请求访问令牌。允许重用请求令牌将使您面临HTTP回放攻击。
OAuth 1.0规范第6节详细说明了此问题:
请求令牌:由消费者使用,要求用户授权访问受保护的资源。 用户授权的请求令牌可用于交换访问令牌,仅可使用一次,并且禁止用于任何其他目的。建议限制请求令牌的生命周期。
- Robert Levy
2
跟进问题先生。如果我有一个过期的访问令牌,并且我刷新了它,也就是说我再次交换了另一个访问令牌,那么我就不需要经历OAuth的第一步和第二步。问题是新访问令牌的值是否与过期的访问令牌不同? - omg
是的,您应该发出更新的访问令牌并忘记过期的令牌。 - Robert Levy
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接