запрос и доступ к токенам в oauth

Question

Может ли кто-нибудь объяснить, почему токены запроса должны быть заменены на токены доступа после одобрения пользователя? Почему бы не сделать вид, что маркер запроса является токеном доступа после того, как пользователь подтвердил доступ?

Answer 1

Краткий ответ: для проверки подлинности приложения.

См. Блок-схема процесса OAuth YouTube

OAuth - это протокол с 3 портами.В данном конкретном случае YouTube необходимо аутентифицировать две разные сущности: а) пользователя и б) приложения, которому необходимо получить доступ.

Теперь, после того как пользователь предоставит доступ (шаг 10 на диаграмме), YouTube знает, чтоMsgstr "Пользователь x хочет предоставить приложению Y доступ к YouTube".Но оно еще не проверило приложение Y. Мошенническое приложение может выполнить все шаги до шага 10, выдавая себя за действительное, известное приложение - и такое действие должно быть предотвращено.

В последних 3 шагах, приложение подтверждает себя на YouTube, подписав запрос.После этого YouTube может безопасно предоставить маркер доступа к приложению.

Answer 2

Система oauth проверяет токен запроса и проверяет, разрешен ли запрашиваемый доступ для этого пользователя.Затем он выдает токен доступа (действительный в течение определенного периода) и подписывает его цифровой подписью.

Подпись важна, поскольку именно это показывает, что система соглашается с тем, что запрашивающему разрешен запрашиваемый им доступ.

Взгляните на: http://hueniverse.com/oauth/, чтобы легко понять, как все это работает.