Почему авторизованный OAuth 1.0 запрашивает, чтобы маркером обменялись для маркера доступа?
Это работает, и это так, потому что = идет в обе стороны, что означает: то, что слева от равных, равно тому, что справа от равных, и наоборот.
1 ответ
Джо,
При использовании OAuth 1.0 важно помнить, какие части происходят «сервер-сервер», а какие - в браузере («пользовательский агент»). «Точка» OAuth, если хотите, состоит в том, чтобы получить токен доступа на стороне сервера и секретный к внутреннему конечному серверу потребителя, никогда не передавая секретный код через браузер.
Имея это в виду: когда пользователь авторизует токен запроса, «обратный вызов» происходит через агента пользователя, через перенаправление HTTP. Другими словами, любые данные (то есть код верификатора и токен запроса, но НЕ НЕ СЕКРЕТ запроса ) в обратном вызове «видны» браузером. Вот почему токен доступа (и секретный) не могут быть параметрами шага обратного вызова: они должны передаваться напрямую с сервера на сервер, а не через браузер.