Warum ist OAuth entworfen, um Anfrage-token und access token?
In der OAuth-Protokoll, ein service consumer fragt ein Benutzer zu autorisieren Anfrage-token im service-provider-domain, dann tauscht die Anfrage-token für eine access token vom Anbieter.
Frage ich mich, warum OAuth ist entworfen, um zwei Token im Protokoll.
Warum nicht einfach ein einzelnes token in diesem Prozess? Das heißt, der Benutzer gestatten würde, die token, und der service-consumer würden abrufen von Informationen von dem Anbieter mit die token.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Für usability-und Sicherheitsgründen.
Aus der Beginner ' s Guide to OAuth:
https://hueniverse.com/beginners-guide-to-oauth-part-iii-security-architecture-e9394f5263b5
===
Beachten Sie, dass diese Frage ist ein dupe von
Warum müssen wir "ändern temporäre Anmeldeinformationen für die token credentials" in OAuth?
Wenn die Erklärung von der Beginner ' s Guide nicht klar ist, dann gehe Lesen @npdoty auf es .
Vom Die Offizielle OAuth-1.0-Guide
Um zusammenzufassen, was sagte, dass im Grunde der Benutzer gibt einen Benutzernamen und ein Kennwort für einen OAuth-request-token. Sie geben den Dienst, der eine Verbindung herstellen möchte, um etwas über die OAuth-request-token und Sie erhalten die Zugangs-token. Dieser macht es so, dass der service nie sieht/benutzt den Benutzernamen und das Passwort.