Представьте себе, что есть провайдер oAuth, который называется ACMEAUTH, это провайдер PayPal ESQ. Онлайн-сайт использует ACMEAUTH для обработки платежей / взаимодействий за / с их продуктами:
Возможно, это игра в шахматы, в которой два игрока могут играть друг на друга за деньги. Каждый сделанный ход должен быть зарегистрирован / зарегистрирован ACMEAUTH, который в конце выплатит победителю.
Онлайн-сайт ведет игру в шахматы, но не хочет обрабатывать платежи, поэтому для этого они используют ACMEAUTH.
Каждый ход, который делает игрок, должен быть отправлен в ACMEAUTH для регистрации, чтобы, когда ACMEAUTH выплачивал победителя, он мог разрешать споры, если таковые имеются, по платежу.
Как только пользователь авторизует онлайн-сайт с помощью oAuth (чтобы ему не нужно было вводить свое имя пользователя / пароль для каждого хода), он может играть в шахматы, а сайт может использовать токен oAuth для регистрации хода игроков. , Однако игрок может быть обеспокоен тем, что на сайте будут запускаться сценарии, которые автоматически воспроизводят ходы для пользователя, в результате чего он проигрывает, и сайт выигрывает и забирает деньги.
Когда игрок подтверждает ход, в ACMEAUTH отправляется сообщение с соответствующими данными.
У меня вопрос: есть ли механизм / архитектура, которую ACMEAUTH может внедрить, чтобы защитить пользователя от этого? Я читал, что PayPal предлагает «безопасные кнопки», где они шифруют отправленную им информацию, чтобы данные не могли быть изменены на кнопке, но это прекрасно, поскольку они знают сумму, которая будет выплачена. Имею ли я какой-то смысл в описываемом мной сценарии, и если да, то есть ли стандартная практика, как это работает? Я изо всех сил пытаюсь найти подходящие термины в Google, чтобы найти ответ на этот вопрос, и философский обзор того, как к этому приблизиться, был бы великолепен. Спасибо