13

明らかに、OAuth 1.0 を使用する場合、API プロバイダーからコンシューマー キーとコンシューマー シークレットを取得する必要があります...

しかしその後、Facebook や Google Oauth 2.0 などの OAuth 2.0 API を使用しようとすると、コンシューマー キー/コンシューマー シークレットを取得する必要はありませんでした (Facebook のアプリ ID とアプリ シークレットを取得しましたが、それらはコンシューマー キー/コンシューマー シークレットとは異なります)私は正しいですか?)

私の質問は... Oauth 2.0を使用する場合、Oauth 1.0のようにコンシューマーキー/コンシューマーシークレットを用意する必要がないというのは本当ですか?

また、Oauth 2.0 に必要な署名方式 (HMAC-SHA1 など) がないということでよろしいですか? HMAC-SHA1 は Oauth 1.0 にのみ関連しますよね?

4

3 に答える 3

15
  1. OAuth 2 プロバイダーは通常、クライアント/アプリの識別子とシークレット/パスワードを発行します。OAuth ドラフトでは、これらのクライアント識別子クライアント シークレットを呼び出します。これらは、呼び出しが実際にアプリケーションによって発行されたかどうかを確認するために使用されます。ただし、OAuth は、多かれ少なかれ安全であり、すべてがある種の秘密を必要とするわけではない、さまざまな承認付与フローをカバーしています。Google はこれらをclient IDclient secretと呼び、Facebook はApp IDApp Secretと呼びますが、どちらも同じです。
  2. はい、すべての暗号化手順は OAuth 2 でサーバー側に移動されました。
于 2012-07-31T18:05:54.850 に答える