我正在开发一个需要实施三足OAuth 2.0流程的网络应用。 Smartsheet API文档http://smartsheet.com/developers/api-documentation表示API支持标准OAuth 2.0流程。然而,仔细观察,我发现访问和刷新令牌管理操作要求不是通过客户端秘密发送(这似乎是其他API中的标准行为),我必须通过哈希发送,引用“SHA-256”您的客户端密码的哈希与管道和授权代码连接。从不发送client_secret与请求。“
鉴于这与标准OAuth 2.0流程不同,Smartsheet API是否支持标准行为?
答案 0 :(得分:2)
明确传递秘密 - 在URL上 - 不受支持。文档中描述的流程是OAuth2流程,但它确实不是SaaS供应商中最常用的常见流程。 OAuth2规范允许扩展令牌端点以满足授权服务器的安全要求,SHA256哈希就是这样的扩展。