Est-ce que Oauth 2.0 a besoin de clé de consommateur / secret de consommateur
Donc, de toute évidence lors de l'utilisation de l'authentification OAuth 1.0 vous devez acquérir consumer key et consumer secret de l'API fournisseur...
Mais quand j'essaye d'utiliser l'Api OAuth 2.0 tels que Facebook, Google Oauth 2.0, etc je n'ai jamais nécessaire à l'acquisition de clé client/consommateur secret (j'ai acquis de l'ID d'Application et le secret de l'App pour Facebook, mais ceux qui sont différents de clé client/consommateur secret, ai-je raison?)
Donc ma question est...est-il vrai que lors de l'utilisation de l'authentification Oauth 2.0, vous n'avez pas besoin d'avoir une clé client/consommateur secret comme dans Oauth 1.0
Aussi il n'y a pas de signature méthodes (HMAC-SHA1, etc) nécessaires pour le protocole Oauth 2.0, est-ce correct? HMAC-SHA1 n'est pertinente que pour Oauth 1.0, correct?
source d'informationauteur pillarOfLight
Vous devez vous connecter pour publier un commentaire.
L'autorisation de la subvention de flux que vous faites référence est connu sous le nom informations d'Identification du Client Subvention de flux dans le OAuth 2 de la spécification. Il est utilisé pour faire la demande d'authentification uniquement. Ce qui signifie que l'utilisateur n'est impliqué. Un exemple typique est l'affichage d'un flux twitter sur la page d'accueil.
Normalement, l'application passe à la fois à la consommation (ou l'ID de l'application) et le code secret (ou le secret de l'app) sur HTTPS au serveur. Cette demande n'est protégé que par HTTPS; il n'y a pas de cryptage supplémentaire. Le serveur renvoie un jeton que vous pouvez utiliser à partir de ce point pour faire des requêtes à l'API - étant donné qu'il ne nécessite pas de contexte de l'utilisateur.
Le consommateur (ou l'ID de l'application) identifie votre demande et d'avoir une véritable valeur. Normalement, vous n'avez pas (ou ne pouvez pas) changer ça. Le consommateur secret peut cependant être régénéré dans le cas où vous pensez qu'il a été compromis. C'est ce qui explique pourquoi il y a deux clés.
La régénération de la consommation secret est différente à partir d'invalider le jeton qui ne sera pas vous aider si le consommateur key et consumer secret ont été compromis.
Les deux sont les mêmes. la terminologie utilisées sont différentes par les applications/utilisateurs/clients. thats it.Les deux sont les mêmes.