«Запрос защищенного ресурса» (т. Е. Запрос на получение какого-либо ресурса, который требует от вас аутентификации с использованием OAuth) в стандартном OAuth содержит только один токен OAuth. Ключ потребителя также отправляется. Секреты, соответствующие каждому из этих токенов, используются вместе для генерации подписи.
WRAP также имеет концепцию токена доступа, но он вводит концепцию токена обновления, который не включен в запрос защищенного ресурса, но вместо этого отправляется в прямом запросе от клиента поставщику услуг, когда срок действия токена доступа клиента истек, и ему необходимо получить новый.
Токены WRAP, в отличие от токенов OAuth, не имеют связанного секрета, а вместо этого используются скорее как временный идентификатор сеанса. Поскольку этот токен может быть выставлен в файле cookie браузера или в другом состоянии браузера, WRAP позволяет использовать этот токен в течение короткого времени, что позволяет ему быть сброшенным при выходе из системы или после некоторого короткого периода бездействия. Токен обновления известен только клиенту и поставщику услуг и, таким образом, является более долгоживущим.
Обновление токена не требуется в OAuth, потому что Секрет токена служит секретом, известным только клиенту и поставщику услуг.
Оба протокола имеют два значения для отслеживания клиентом, одно из которых является более закрытым, чем другое, но WRAP использует более закрытый токен другим способом, так что разработчикам не нужно генерировать и проверять подписи.