1. घर
  2. सवाल और जवाब
  3. करता Oauth 2.0 की जरूरत उपभोक्ता कुंजी/उपभोक्ता सीक्रेट

करता Oauth 2.0 की जरूरत उपभोक्ता कुंजी/उपभोक्ता सीक्रेट

2012-07-31 17 views
13

तो जाहिर है जब OAuth 1.0 आप उपभोक्ता कुंजी और एपीआई प्रदाता से उपभोक्ता सीक्रेट प्राप्त करने के लिए की जरूरत है ...करता Oauth 2.0 की जरूरत उपभोक्ता कुंजी/उपभोक्ता सीक्रेट

लेकिन तब का उपयोग कर जब मैं इस तरह के रूप OAuth 2.0 APIs का उपयोग करने का प्रयास करें फेसबुक, गूगल ओथ 2.0, आदि। मुझे उपभोक्ता कुंजी/उपभोक्ता रहस्य प्राप्त करने की आवश्यकता नहीं है (मैंने फेसबुक के लिए ऐप आईडी और ऐप रहस्य हासिल किया है, लेकिन क्या मैं उपभोक्ता कुंजी/उपभोक्ता रहस्य से अलग हूं?)

तो मेरा प्रश्न है ... क्या यह सच है कि ओथ 2.0 का उपयोग करते समय, आपको ओएथ 1.0

के साथ उपभोक्ता कुंजी/उपभोक्ता रहस्य की आवश्यकता नहीं है ओथ 2.0 के लिए आवश्यक कोई हस्ताक्षर विधियां (एचएमएसी-एसएचए 1 आदि) नहीं है, क्या यह सही है? एचएमएसी-एसएचए 1 केवल ओथ 1.0 के लिए प्रासंगिक है, सही?

स्रोत

2012-07-31 pillarOfLight

उत्तर

15
  1. OAuth 2 प्रदाताओं आम तौर पर आप अपने ग्राहक/ऐप्स और कुछ गुप्त/पासवर्ड के लिए एक पहचानकर्ता जारी, OAuth मसौदा इन client identifier and client secret कहता है। इनका उपयोग यह जांचने के लिए किया जाता है कि आपके आवेदन द्वारा वास्तव में एक कॉल जारी किया गया था या नहीं। हालांकि, ओथ में Authorization Grant flows शामिल हैं जो कम या ज्यादा सुरक्षित हैं और सभी को किसी प्रकार का रहस्य की आवश्यकता नहीं है। गूगल उन्हें ग्राहक आईडी और गुप्त ग्राहक, फेसबुक उन्हें कॉल कॉल एप्लिकेशन आईडी और अनुप्रयोग गुप्त, लेकिन वे दोनों एक ही हैं।
  2. हाँ, सभी क्रिप्टोग्राफिक चरणों OAuth 2.

स्रोत

2012-07-31 18:05:54

0

दोनों एक ही हैं में सर्वर साइड में ले जाया गया। उपयोग की जाने वाली शब्दावली ऐप्स/उपयोगकर्ता/ग्राहकों द्वारा अलग होती है। यह है। दोनों एक ही हैं।

स्रोत

2015-09-05 09:32:46 CoderDojo

5

प्रमाणीकरण अनुदान प्रवाह जिसे आप संदर्भित कर रहे हैं उसे ओएथ 2 विनिर्देश में क्लाइंट प्रमाण-पत्र अनुदान प्रवाह के रूप में जाना जाता है। इसका उपयोग केवल एप्लिकेशन प्रमाणीकरण करने के लिए किया जाता है। मतलब है कि कोई उपयोगकर्ता शामिल नहीं है। एक सामान्य उदाहरण एक होम पेज पर एक ट्विटर फ़ीड का प्रदर्शन है।

आम तौर पर एप्लिकेशन सर्वर पर HTTPS पर उपभोक्ता कुंजी (या ऐप आईडी) और उपभोक्ता रहस्य (या ऐप गुप्त) दोनों पास करता है। यह अनुरोध केवल HTTPS द्वारा संरक्षित है; कोई अतिरिक्त एन्क्रिप्शन नहीं है। सर्वर एक टोकन देता है जिसे आप उस बिंदु से API पर अनुरोध करने के लिए उपयोग कर सकते हैं - दिए गए इसे उपयोगकर्ता संदर्भ की आवश्यकता नहीं है।

उपभोक्ता कुंजी (या ऐप आईडी) आपके एप्लिकेशन की पहचान करती है और इसका अर्थपूर्ण मूल्य हो सकता है। आप आमतौर पर इसे बदल नहीं सकते (या नहीं कर सकते)। हालांकि उपभोक्ता रहस्य को फिर से उत्पन्न किया जा सकता है यदि आपको लगता है कि इससे समझौता किया गया है। यह बताता है कि दो चाबियां क्यों हैं।

उपभोक्ता रहस्य को पुन: उत्पन्न करना टोकन को अमान्य करने से अलग है जो उपभोक्ता कुंजी और उपभोक्ता रहस्य से समझौता किए जाने पर आपकी सहायता नहीं करेगा।

स्रोत

2015-09-13 11:56:22

संबंधित मुद्दे

 संबंधित मुद्दे