1

重複の可能性:
OAuth がアクセス トークンとアクセス トークン シークレットの両方を提供するのはなぜですか? 単一の値だけではないのはなぜですか?

OAuth 1.0 リクエスト トークンがキーとシークレットに分割されている理由がわかりません。コンシューマーがキーとともにユーザーに秘密を明らかにすることによって、どのような攻撃ベクトルが可能になるのかわかりません。中間者はまだ消費者の秘密を持っていないため、消費者に代わって要求を偽造することはできません。さらに、要求トークンの秘密を確認できる中間者は、理論的には、ユーザーの秘密を偽造する能力も持っているため、消費者がユーザーから秘密を隠したとしても、MITM はユーザーになりすまして同じ損害を与えることができます。

ここに何かが欠けているようです...秘密をユーザーから隠すことには、何らかの利点があるに違いありません。そうでなければ、そもそも「秘密」があるのはなぜですか? OAuth リクエストの署名を偽造しにくくすることと関係がありますか?

4

0 に答える 0