OAuth не передает имя пользователя / пароль.OAuth отправляет заголовок OAuth внутри HTTP-заголовка Auth.Ваша служба должна будет извлечь это и затем протестировать, чтобы убедиться, что он действителен.
Заголовок OAuth будет содержать незашифрованную группу значений (timestamp, consumer_key, nonce).Вы можете взять эти незашифрованные значения и использовать незашифрованный ключ, чтобы найти секретный ключ, который будет использоваться вашей службой для шифрования тех же значений, и убедиться, что он соответствует сигнатуре, которая также включена в заголовок OAuth.Если ваша сгенерированная подпись совпадает с подписью, включенной в заголовок OAuth, то вы знаете, что HTTP-запрос хорош.Затем вы можете извлечь ключ потребителя из заголовка и использовать его для поиска имени пользователя, если вам нужно.
См. мой пост здесь .Имейте в виду, что есть несколько хороших библиотек, облегчающих все это, например, DotNetOpenAuth .