1. ev
  2. Soru-cevap
  3. mu Oauth 2.0 gizli tüketici anahtarı/tüketiciyi ihtiyaç

mu Oauth 2.0 gizli tüketici anahtarı/tüketiciyi ihtiyaç

2012-07-31 23 views
13

Yani besbelli OAuth'u tüketici anahtarını ve API sağlayıcısından tüketici sırrını edinmeleri gerekir 1.0 ...mu Oauth 2.0 gizli tüketici anahtarı/tüketiciyi ihtiyaç

Ama sonra kullanırken gibi OAuth 2.0 API'leri kullanmaya çalıştığınızda Facebook, Google Oauth 2.0, vb Tüketici anahtarı/tüketici sırrı (Ben Facebook için App Kimliği ve Uygulama sırrı elde ettim ama ben bu tüketici anahtar/tüketici sırrı farklı mıyım?) Hiçbir zaman ihtiyaç duymadım.

Benim sorum ... Oauth 2.0 kullanırken, Oauth 1.0

'da olduğu gibi bir tüketici anahtarının/tüketici sırrınızın olması gerekmediği doğrudur. Oauth 2.0 için gerekli imza yöntemleri (HMAC-SHA1 vb) yoktur, doğru mu? HMAC-SHA1 sadece Oauth 1.0 ile ilgilidir, doğru mu?

kaynak

2012-07-31 pillarOfLight

cevap

15
  1. OAuth 2 sağlayıcıları genellikle istemci/app ve bazı gizli/parola size bir tanımlayıcı sorunu OAuth taslak bu client identifier and client secret çağırır. Bunlar, uygulamanız tarafından gerçekten bir çağrı yapılmış olup olmadığını kontrol etmek için kullanılır. Ancak, OAuth, daha fazla veya daha az güvenli olan ve hepsi bir çeşit sır gerektirmeyen farklı Authorization Grant flows'u kapsar. Google, vemüşteri sırrı, Facebook onları çağırır istemci kimliği çağırır Uygulama Kimliği ve App Gizli ama ikisi de aynıdır.
  2. Evet, tüm kriptografik adımlar
    3.

kaynak

2012-07-31 18:05:54

0

İkisi aynı OAuth 2. sunucu tarafına taşındı. Kullanılan terminoloji uygulamalar/kullanıcılar/istemciler tarafından farklıdır. thats o aynı.

kaynak

2015-09-05 09:32:46 CoderDojo

5

Size atıfta bulunduğunuz yetkilendirme hibe akışı, OAuth 2 belirtiminde İstemci Kimlik Bilgileri Hibe akışı olarak bilinir. Yalnızca uygulama kimlik doğrulaması yapmak için kullanılır. Hiçbir kullanıcının dahil olmadığı anlamına gelir. Tipik bir örnek, bir ana sayfada bir twitter özetinin gösterilmesidir.

Normalde uygulama, sunucuya HTTPS üzerinden hem tüketici anahtarını (hem uygulama kimliğini) hem de tüketici sırrını (veya uygulama sırrını) geçirir. Bu istek yalnızca HTTPS tarafından korunmaktadır; ek şifreleme yok. Sunucu, bir kullanıcı bağlamı gerektirmediği sürece API'den istekte bulunmak için bu noktadan kullanabileceğiniz bir belirteç döndürür.

Tüketici anahtarı (veya uygulama kimliği) uygulamanızı tanımlar ve anlamlı bir değere sahip olabilir. Normalde bunu artık değiştiremezsiniz (veya yapamazsınız). Ancak tüketici sırrı, tehlikeye düştüğüne inandığınız takdirde yenilenebilir. Bu, neden iki anahtar olduğunu açıklıyor. Tüketici sırrını rejenere etmek, tüketici anahtarı ve tüketici sırrı tehlikeye girdiğinde size yardımcı olmayacak olan belirteci geçersiz kılmaktan farklıdır.

kaynak

2015-09-13 11:56:22

İlgili konular

 İlgili konular