在访问受保护资源时,我对OAuth及其对token和token_secret的使用感到困惑。在授予访问令牌时,将令牌和token_secret发送回用户以进行签名是有意义的。但是,我发现3个使用OAuth 1.0的网站要求令牌密钥不仅用于签名,还应该在访问受保护资源时使用令牌发回。对我来说,从安全角度来看这绝对没有意义,并且似乎与OAuth规范中建议的内容背道而驰:http://oauth.net/core/1.0/#anchor13。
所以我错过了一些明显的东西,或者我认为token_secret只能用于签名而且永远不会被发送回服务器。