Kann jemand erklären, warum Anfragetoken nach der Benutzerfreigabe durch Zugriffstokens ersetzt werden müssen? Warum nicht so tun, als wäre das Anfrage-Token das Zugriffstoken, sobald der Benutzer den Zugriff genehmigt hat?Anforderungs- und Zugriffstoken in OAUTH
Antwort
Kurze Antwort: Um die Anwendung zu authentifizieren.
Siehe YouTube's OAuth Process Flow Diagram
OAuth ein 3-Legged Protokoll ist. In diesem speziellen Fall muss YouTube zwei verschiedene Entitäten authentifizieren: a) Der Benutzer und b) Die Anwendung, die Zugriff benötigt.
Jetzt, nachdem der Benutzer Zugriff gewährt (Schritt 10 im Diagramm), weiß YouTube, dass "Benutzer x der Anwendung Y Zugriff auf YouTube gewähren möchte". Aber es hat die Anwendung Y noch nicht verifiziert. Eine Rogue-Anwendung kann alle Schritte bis zu Schritt 10 ausführen, indem sie vorgibt, eine gültige, bekannte Anwendung zu sein - und eine solche Aktion muss verhindert werden.
In den letzten 3 Schritten verifiziert sich die Anwendung bei YouTube, indem sie die Anfrage signiert. Sobald dies erledigt ist, kann YouTube der Anwendung ein Zugriffstoken zur Verfügung stellen.
Das oauth-System prüft das Anfrage-Token und prüft, ob der angeforderte Zugriff für diesen Benutzer erlaubt ist. Es stellt dann ein (für eine bestimmte Zeit gültiges) Zugangstoken aus und signiert es digital.
Die Signatur ist wichtig, da dies zeigt, dass das System zustimmt, dass der Anforderer den Zugriff hat, den er angefordert hat.
Werfen Sie einen Blick auf: http://hueniverse.com/oauth/ für eine leicht zu schluckende Anleitung, wie das Ganze funktioniert.
- 1. Warum ist OAuth für Anforderungstoken und Zugriffstoken ausgelegt?
- 2. OAuth - Zugriffstoken-Ablaufzeitraum?
- 3. Google Identity Toolkit Verbundanmeldung und OAuth-Zugriffstoken
- 4. Stormpath OAuth-Zugriffstoken auf Cookie
- 5. eine OAuth-Zugriffstoken für Microsoft Live API
- 6. Failing OAuth 2.0 Zugriffstoken auf Android-Emulator
- 7. Enthalten OAuth-Zugriffstoken Rollen wie JWT-Token
- 8. wie oauth Zugriffstoken für Facebook mit Ruby
- 9. OAuth 2: Probleme, Zugriffstoken zu erhalten
- 10. Android Misfit API OAuth 2: Wie Zugriffstoken
- 11. andere twitter oAuth cURL Zugriffstoken Anfrage, die
- 12. Google OAuth - wie man Zugriffstoken wieder verwendet
- 13. „Fehler beim Lesen der Nachricht“, wenn eine OAuth-Anforderungs-Token
- 14. Strategie für die Bereitstellung OAuth Zugriffstoken in Redux-Anwendung
- 15. Holen Sie ein OAUTH-Zugriffstoken vom Aktualisierungstoken in Passjs
- 16. Wie OAuth-Zugriffstoken in der Konsole ohne Authentifizierung Aufforderung
- 17. OAuth-Zugriffstoken für Zed Attack Proxy-Scans automatisieren
- 18. Kann ein OAuth 2.0-Zugriffstoken ein JWT sein?
- 19. Was ist die Lebensdauer von Github OAuth API-Zugriffstoken
- 20. Get OAuth 2.0 Zugriffstoken von asp.net Webforms iframe Leinwand Anwendung
- 21. Zugriffstoken von OAuth 2.0 nicht erhalten. Berechtigungscode-Ablauf
- 22. OAuth: HTTP 401-Status, wenn sie versuchen zu LinkedIn Zugriffstoken
- 23. Verwenden von Facebook OAuth 2.0 - Wie hole ich das Zugriffstoken?
- 24. So erneuern Sie das Zugriffstoken mit dem OAuth-Aktualisierungstoken?
- 25. OAuth - Ungültiges Token: Anforderungs-Token wird verwendet, wenn es nicht erlaubt ist
- 26. versuchen App Zugriffstoken
- 27. Wie interagieren/oauth/authorize und/oauth/token in Spring OAuth?
- 28. Erweiterung Facebook-Seite Zugriffstoken
- 29. OAuth - Lesen Sie das generierte Zugriffstoken und fügen Sie einen Cookie als Antwort hinzu
- 30. Was in Twitter OAuth
Dies beantwortet meine Frage nicht. Ich versuche zu verstehen, warum das Protokoll mit so vielen Token-Austauschen so verworren ist. Ich kann die ganze Sache mit einem einzigen Anfrage-Token arbeiten sehen. – davidk01