Несъответствия в внедряването на OAuth клиент

Свързвам се с няколко защитени с OAuth услуги и се опитвам да разбера как две от моите Oauth клиентски библиотеки изглежда работят по различен начин.

Една от библиотеките е общ OAuth клиент, който изисква както токен за достъп, двойка ключ/тайна, така и потребителска двойка ключ/тайна, за да генерира подписани заявки.

Другата библиотека е специфичен за Facebook OAuth клиент и изисква само токен за достъп без тайната и никакъв потребителски токен или ключ за подписване на заявки.

Дали внедряването на OAuth от Facebook е толкова различно, че изисква само 1 от 4-те елемента, необходими на други внедрявания на OAuth за подписване на заявки?


oauth-2.0 oauth facebook-oauth
person Yarin    schedule 04.05.2012    source източник

Отговори (1)


arrow_upward
2
arrow_downward

Общата библиотека, която споменавате, е за използване със спецификацията OAuth 1.0a. Докато Graph API на Facebook е базиран на OAuth 2.

Двете „версии“ ​​на OAuth са доста различни една от друга. Основната разлика е точно както споменахте, че в OAuth 2 няма концепция за криптография на ниво заявка (няма ужаси за подпис). Вместо това спецификацията разчита на абсолютното изискване крайните точки на API да използват защитен транспортен слой (HTTPS/SSL).

Тъй като OAuth 2 едва наскоро се превърна в по-стабилна чернова, ще откриете, че доставчиците на услуги са базирали внедряванията си на различни чернови, докато OAuth 1.0 е по-стабилен по отношение на сървърните реализации.

Този въпрос трябва да ви даде добра представа: Как се различава OAuth 2 от OAuth 1 ?.

person Jon Nylander    schedule 04.05.2012
comment
Джон- благодаря, нямах представа, че имам работа с 2 много различни версии. Сега мога да започна да развързвам възела в главата си.. - person Yarin; 04.05.2012