我想在我的网站上实现oauth 1
,我只是想知道是否
我必须在request token
兑换为access token
时将其更改为
提前致谢
答案 0 :(得分:22)
请求令牌是临时和独特的。在给出一个之后,你应该忘记所有关于它a)几分钟过去或b)它用于请求访问令牌。允许重用请求令牌会让您重新开始http重放攻击。
OAuth 1.0规范的第6节说明了这一点:
请求令牌:由消费者使用 要求用户授权访问 受保护的资源。该 用户授权的请求令牌是 必须交换访问令牌 只能使用一次,绝不能使用 用于任何其他目的。它是 建议请求令牌有一个 有限的一生。