OAuth请求和访问令牌

时间:2011-06-21 02:23:14

标签: oauth token access-token

我想在我的网站上实现oauth 1,我只是想知道是否 我必须在request token兑换为access token时将其更改为

提前致谢

1 个答案:

答案 0 :(得分:22)

请求令牌是临时和独特的。在给出一个之后,你应该忘记所有关于它a)几分钟过去或b)它用于请求访问令牌。允许重用请求令牌会让您重新开始http重放攻击。

OAuth 1.0规范的第6节说明了这一点:

  

请求令牌:由消费者使用   要求用户授权访问   受保护的资源。该   用户授权的请求令牌是   必须交换访问令牌   只能使用一次,绝不能使用   用于任何其他目的。它是   建议请求令牌有一个   有限的一生。