Pourquoi est-OAuth conçu pour avoir un jeton de demande et le jeton d'accès?
Dans le protocole d'authentification OAuth, un consommateur de service va demander à l'utilisateur d'autoriser un jeton de demande dans le fournisseur de service de domaine, les échanges de la jeton de demande pour un jeton d'accès par le fournisseur de service.
Je me demandais pourquoi ce Protocole est conçu pour avoir deux jetons dans le protocole.
Pourquoi ne pas simplement utiliser un seul jeton dans ce processus? L'utilisateur autorise le jeton, et le consommateur de service serait de récupérer des informations à partir du fournisseur avec le jeton.
Vous devez vous connecter pour publier un commentaire.
Pour l'ergonomie et des raisons de sécurité.
De la Guide du débutant pour OAuth:
https://hueniverse.com/beginners-guide-to-oauth-part-iii-security-architecture-e9394f5263b5
===
Note que cette question est un dupe de
Pourquoi devons-nous "changement temporaire des informations d'identification pour jeton d'identification" dans OAuth?
Si l'explication de la Guide du Débutant n'est pas clair, alors allez lire @npdoty de prendre sur elle .
De L'Officiel OAuth 1.0 Guide
De résumer ce qu'a dit en gros l'utilisateur donne un nom d'utilisateur et un mot de passe pour l'authentification OAuth jeton de demande. Vous donner le service qui veut se connecter à quelque chose en utilisant OAuth le jeton de demande et qu'ils reçoivent le jeton d'accès. Cela fait en sorte que le service ne voit jamais/utilise le nom d'utilisateur et mot de passe.