ユーザーの承認後にリクエストトークンをアクセストークンと交換する必要がある理由を誰か説明できますか? ユーザーがアクセスを承認したら、リクエスト トークンがアクセス トークンであるふりをしてみませんか?
2 に答える
0
oauthシステムはリクエストトークンをチェックし、リクエストされたアクセスがそのユーザーに許可されているかどうかをチェックします。次に、アクセストークン(一定期間有効)を発行し、デジタル署名します。
署名は重要です。これは、要求者が要求したアクセスを許可されていることにシステムが同意していることを示しているためです。
全体がどのように機能するかについての飲み込みやすいガイドについては、 http ://hueniverse.com/oauth/をご覧ください。
于 2010-12-02T11:24:08.727 に答える
0
簡単な回答: アプリケーションを認証します。
YouTube の OAuth プロセス フロー図を参照してください。
OAuth は 3-Legged プロトコルです。この特定のケースでは、YouTube は 2 つの異なるエンティティ (a) ユーザーと b) アクセスが必要なアプリケーションを認証する必要があります。
ここで、ユーザーがアクセスを許可すると (図のステップ 10)、YouTube は「ユーザー x がアプリケーション Y に YouTube へのアクセスを許可したい」ことを認識します。しかし、アプリケーション Y はまだ検証されていません。不正なアプリケーションは、ステップ 10 までのすべてのステップを実行して、有効な既知のアプリケーションになりすますことができます。このようなアクションは防止する必要があります。
最後の 3 つのステップで、アプリケーションはリクエストに署名することで YouTube に対して自身を検証します。これが完了すると、YouTube は安全にアプリケーションにアクセス トークンを提供できます。
于 2010-12-02T13:33:06.340 に答える