Каковы характеристики маркера OAuth?
хеш один способ, которым алгоритм привыкший к сравнивает вход со ссылкой, не ставя под угрозу ссылку.
Это является наиболее часто используемым в логинах для сравнения паролей, и можно также найти его на reciepe, если Вы делаете покупки с помощью кредитной карты. Там Вы найдете свой номер кредитной карты с некоторыми числами скрытым, этот способ, которым можно доказать с высоким propability, что карта использовалась для покупки материала, в то время как кто-то перерывающий мусор не будет в состоянии найти количество карты.
А очень наивный и простой хеш "Первые 3 буквы строки" . Это означает, что хеш "abcdefg" будет "abc". Эта функция не может, очевидно, быть инвертирована, который является всей целью хеша. Однако обратите внимание, что "abcxyz" будет иметь точно тот же хеш, это называют коллизия . Так снова: хеш только доказывает с определенным propability, что два сравненных значения - тот же .
Другой очень наивный и простой хеш является с 5 модулями из числа, здесь Вы будете видеть это 6,11,16 и т.д. будет все иметь тот же хеш: 1.
современные хеш-алгоритмы разработаны для хранения количества коллизий максимально низко, но они никогда не могут быть completly, которого избегают. Эмпирическое правило: чем дольше Ваш хеш, тем меньше коллизий он имеет.
4 ответа
Я не уверен, что существуют какие-либо явные ограничения. В спецификации нет . Тем не менее, токены OAuth часто передаются как параметры URL-адреса и поэтому имеют некоторые из тех же ограничений. т.е. необходимо правильно закодировать и т. д.
Токен OAuth концептуально представляет собой последовательность байтов произвольного размера, а не символов. В URL-адресах он кодируется с использованием стандартных механизмов экранирования URL-адресов:
unreserved = ALPHA, DIGIT, '-', '.', '_', '~'
Все, что не является незарезервированным, кодируется в%.
Я не уверен, что вы просто говорите о параметре oauth_token, который передается. Обычно необходимо сохранять и передавать дополнительные параметры, такие как oauth_token_secret, oauth_signature и т. Д. Некоторые из них имеют разные типы данных, например, oauth_timestamp - это целое число, представляющее секунды с 1970 года (закодировано в десятичных цифрах ASCII).
OAuth не указывает формат или содержимое токена. Мы просто используем зашифрованные пары имя-значение в качестве токена. В токене можно использовать любые символы, но с ним намного проще обращаться, если токен безопасен для URL. Мы достигаем этого путем кодирования зашифрованного текста с помощью URL-безопасного Base64.
Как уже указывало большинство людей. Спецификация OAuth не дает вам точных указаний, но они говорят ...
цитируется по: http://tools.ietf.org/html/draft-hammer-oauth-10#section-4.9
"Серверы должны быть осторожны при назначении общих секретов, которые являются достаточно длинными, и достаточно случайными, чтобы противостоять таким атакам на протяжении как минимум {{1} } время, когда общие секреты становятся действительными. "
" Конечно, серверам настоятельно рекомендуется ошибаться из соображений осторожности и использовать самые длинные секреты в разумных пределах . "
с другой стороны, вы должны учитывать максимальную длину URL-адресов браузеров: