Kann jemand erklären, warum Anfragetoken nach der Benutzerfreigabe durch Zugriffstokens ersetzt werden müssen? Warum nicht so tun, als wäre das Anfrage-Token das Zugriffstoken, sobald der Benutzer den Zugriff genehmigt hat?Anforderungs- und Zugriffstoken in OAUTH
Kurze Antwort: Um die Anwendung zu authentifizieren.
Siehe YouTube's OAuth Process Flow Diagram
OAuth ein 3-Legged Protokoll ist. In diesem speziellen Fall muss YouTube zwei verschiedene Entitäten authentifizieren: a) Der Benutzer und b) Die Anwendung, die Zugriff benötigt.
Jetzt, nachdem der Benutzer Zugriff gewährt (Schritt 10 im Diagramm), weiß YouTube, dass "Benutzer x der Anwendung Y Zugriff auf YouTube gewähren möchte". Aber es hat die Anwendung Y noch nicht verifiziert. Eine Rogue-Anwendung kann alle Schritte bis zu Schritt 10 ausführen, indem sie vorgibt, eine gültige, bekannte Anwendung zu sein - und eine solche Aktion muss verhindert werden.
In den letzten 3 Schritten verifiziert sich die Anwendung bei YouTube, indem sie die Anfrage signiert. Sobald dies erledigt ist, kann YouTube der Anwendung ein Zugriffstoken zur Verfügung stellen.
Das oauth-System prüft das Anfrage-Token und prüft, ob der angeforderte Zugriff für diesen Benutzer erlaubt ist. Es stellt dann ein (für eine bestimmte Zeit gültiges) Zugangstoken aus und signiert es digital.
Die Signatur ist wichtig, da dies zeigt, dass das System zustimmt, dass der Anforderer den Zugriff hat, den er angefordert hat.
Werfen Sie einen Blick auf: http://hueniverse.com/oauth/ für eine leicht zu schluckende Anleitung, wie das Ganze funktioniert.
Dies beantwortet meine Frage nicht. Ich versuche zu verstehen, warum das Protokoll mit so vielen Token-Austauschen so verworren ist. Ich kann die ganze Sache mit einem einzigen Anfrage-Token arbeiten sehen. – davidk01