Основываясь на вопросе, который я задал здесь , но я хотел бы получить отзыв от сообщества stackoverflow по этому вопросу.
Судя по моим тестам, использующим API Twitter с oauth, проверка oauth_verifierэто должно быть сделано поставщиком услуг (твиттером) на шаге E из http://oauth.net/core/diagram.png, не выполняется api.twitter.com;это происходит независимо от того, является ли oauth_callback oob или обычным URL обратного вызова.
Проверить это в твиттере очень просто: просто не отправляйте параметр oauth_verifier как часть шага F для получения токена доступа.
Эту проблему легко воспроизвести, но при необходимости я могу опубликовать свой тестовый код.
oauth_verifier был частью решения угрозы фиксации сеанса и был представлен только в oauth 1.0a.Спецификация.Из-за этого Twitter API, возможно, все еще не заставляет разработчиков приложений использовать его, чтобы избежать нарушения обратной совместимости.
- Это правильно?Или я неправильно интерпретирую спецификацию oauth?
- Это также происходит с другими API, которые должны быть совместимы с oauth1.0a?(LinkedIn и т. Д.)
ps - Этот вопрос несколько связан, но проблема больше не применяется, потому что twitter возвращает oauth_verifier для обоих типов обратных вызовов (oob иобычные обратные вызовы).