1. Inicio
  2. Pregunta y respuesta
  3. OAuth 2.0 necesidad del consumidor clave/consumidor secreto

OAuth 2.0 necesidad del consumidor clave/consumidor secreto

2012-07-31 25 views
13

Así que, evidentemente, cuando se utiliza OAuth 1.0 que necesita para adquirir la clave de consumidor y secreto de los consumidores desde el proveedor de API ...OAuth 2.0 necesidad del consumidor clave/consumidor secreto

Pero cuando trato de utilizar las API de OAuth 2.0, como Facebook, Google Oauth 2.0, etc. Nunca necesité adquirir clave de consumidor/secreto de consumidor (adquirí ID de aplicación y secreto de aplicación para Facebook, pero esos son diferentes de clave de consumidor/secreto de consumidor ¿estoy en lo correcto?)

Así que mi pregunta es ... ¿es cierto que al usar Oauth 2.0, no necesita tener una clave de consumidor/secreto de consumidor como en Oauth 1.0

También no hay métodos de firma (HMAC-SHA1, etc.) necesarios para Oauth 2.0, ¿es correcto? HMAC-SHA1 solo es relevante para Oauth 1.0, ¿correcto?

Fuente

2012-07-31 pillarOfLight

Respuesta

15
  1. OAuth 2 proveedores normalmente se emite un identificador para su cliente/aplicación y algún secreto/contraseña, el proyecto de OAuth llama a estos client identifier and client secret. Estos se usan para verificar si su aplicación emitió realmente una llamada. Sin embargo, OAuth cubre diferentes Authorization Grant flows que son más o menos seguros y no todos requieren algún tipo de secreto. Google les ID de cliente y el cliente secreto, Facebook ellas llamadas llamadas ID de la aplicación y App Secret, pero los dos son lo mismo.
  2. Sí, todas las medidas criptográficas fueron trasladados a lado del servidor en OAuth 2.

Fuente

2012-07-31 18:05:54

0

Ambos son iguales. la terminología utilizada es diferente para aplicaciones/usuarios/clientes. eso es todo. Ambos son lo mismo.

Fuente

2015-09-05 09:32:46 CoderDojo

5

El flujo de concesión de autorización al que se refiere se conoce como flujo de concesión de credenciales de cliente en la especificación OAuth 2. Se usa para realizar autenticación solo de aplicación. Lo que significa que ningún usuario está involucrado. Un ejemplo típico es la visualización de un feed de Twitter en una página de inicio.

Normalmente, la aplicación pasa la clave del consumidor (o la ID de la aplicación) y el secreto del consumidor (o secreto de la aplicación) a través de HTTPS al servidor. Esta solicitud solo está protegida por HTTPS; no hay encriptación adicional. El servidor devuelve un token que puede usar desde ese momento para realizar solicitudes a la API, dado que no requiere un contexto de usuario.

La clave de consumidor (o ID de aplicación) identifica su aplicación y puede tener un valor significativo. Normalmente ya no (o no) puedes cambiar esto. Sin embargo, el secreto del consumidor se puede regenerar en caso de que creas que se ha visto comprometido. Esto explica por qué hay dos claves.

Regenerar el secreto del consumidor es diferente de invalidar el token, lo que no lo ayudará si la clave del consumidor y el secreto del consumidor se han visto comprometidos.

Fuente

2015-09-13 11:56:22

Cuestiones relacionadas

 Cuestiones relacionadas