sesion - ¿Por qué OAuth proporciona un token de acceso y un secreto de token de acceso? ¿Por qué no un solo valor?
oauth2 login (2)
En realidad, el token de acceso secreto nunca se transmite al proveedor. En cambio, las solicitudes transmiten el token de acceso y luego usan el secreto para firmar la solicitud. Es por eso que necesita ambos: uno para identificar y otro para asegurar
¿Por qué OAuth incluye tanto un token de acceso como un secreto de token de acceso como dos valores separados? Como consumidor o OAuth, todas las recomendaciones que he visto indican que debo guardar el token y el secreto juntos y esencialmente tratarlos como un solo valor.
Entonces, ¿por qué la especificación requiere dos valores en primer lugar?
Hay 2 secretos, uno es secreto de token y otro es secreto de consumidor. Los secretos se utilizan para firmar las solicitudes (para generar la firma del mismo) pero no se transmiten en el encabezado de la solicitud, donde se envía el token en el encabezado para identificar al cliente y verificar si tiene acceso.