Frage Benötigt Oauth 2.0 Consumer Key / Consumer Secret


Bei der Verwendung von OAuth 1.0 müssen Sie also den Consumer Key und das Consumer Secret des API-Anbieters ermitteln.

Aber wenn ich versuche, OAuth 2.0 APIs wie Facebook, Google Oauth 2.0 usw. zu verwenden, brauchte ich nie Verbraucherschlüssel / Konsumentengeheimnis (Ich habe App ID und App Secret für Facebook erworben, aber diese unterscheiden sich vom Consumer Key / Consumer Secret hab ich recht?)

Meine Frage ist also ... ist es wahr, dass Sie, wenn Sie Oauth 2.0 verwenden, keinen Consumer Key / Consumer Secret wie in Oauth 1.0 benötigen

Es gibt auch keine Signaturmethoden (HMAC-SHA1 usw.), die für Oauth 2.0 notwendig sind, ist das korrekt? HMAC-SHA1 ist nur relevant für Oauth 1.0, richtig?


13
2017-07-31 16:26


Ursprung


Antworten:


  1. OAuth 2-Anbieter geben Ihnen in der Regel eine Kennung für Ihren Client / Ihre App und einige geheime / Kennwörter aus, der OAuth-Entwurf ruft diese auf Client-ID und Kundengeheimnis. Diese werden verwendet, um zu überprüfen, ob ein Anruf wirklich von Ihrer Anwendung ausgegeben wurde. OAuth deckt jedoch verschiedene Aspekte ab Autorisierungszuweisungen fließen die mehr oder weniger sicher sind und nicht alle eine Art Geheimnis benötigen. Google ruft sie an Kunden ID und KundengeheimnisRuft Facebook sie an App-ID und App-Geheimnis, aber sie sind beide gleich.
  2. Ja, alle kryptografischen Schritte wurden in OAuth 2 auf die Serverseite verschoben.

15
2017-07-31 18:05



Der Autorisierungsgewährungsablauf, auf den Sie sich beziehen, wird in der OAuth 2-Spezifikation als Client Credentials Grant-Ablauf bezeichnet. Es wird verwendet, um Authentifizierung nur für Anwendungen durchzuführen. Das bedeutet, dass kein Benutzer beteiligt ist. Ein typisches Beispiel ist die Anzeige eines Twitter-Feeds auf einer Homepage.

Normalerweise übergibt die Anwendung sowohl den Consumer Key (oder die App ID) als auch das Consumer Secret (oder App Secret) über HTTPS an den Server. Diese Anforderung ist nur durch HTTPS geschützt. Es gibt keine zusätzliche Verschlüsselung. Der Server gibt ein Token zurück, mit dem Sie von nun an Anforderungen an die API senden können, vorausgesetzt, dass kein Benutzerkontext erforderlich ist.

Der Consumer-Key (oder die App-ID) identifiziert Ihre Anwendung und kann einen sinnvollen Wert haben. Normalerweise ändern Sie das nicht (oder können nicht). Das Verbrauchergeheimnis kann jedoch neu generiert werden, wenn Sie glauben, dass es kompromittiert wurde. Dies erklärt, warum es zwei Schlüssel gibt.

Die Regenerierung des Konsumentengeheimnisses unterscheidet sich von der Ungültigkeit des Tokens, das Ihnen nicht hilft, wenn der Verbraucherschlüssel und das Verbrauchergeheimnis kompromittiert wurden.


5
2017-09-13 11:56



Beide sind gleich. Die verwendete Terminologie unterscheidet sich von Apps / Benutzern / Clients. das ist es. Beide sind gleich.


0
2017-09-05 09:32