संक्षिप्त उत्तर: हां, OAuth2 के लिए - जिनके पास वैध पहुंच_टोकन है, उस टोकन द्वारा निर्दिष्ट संसाधनों तक पहुंच होगी। प्रदाता के कार्यान्वयन OAuth2 पर कितनी देर तक निर्भर करता है।
लांग जवाब है, दोनों OAuth1 और 2 के बारे में:
यह OAuth 1पहुंच टोकन की बात आती है पर्याप्त नहीं है। आपको टोकन गुप्त और उपभोक्ता कुंजी और गुप्त पहुंच की भी आवश्यकता होगी। एक्सेस टोकन को गोपनीय रखने और वैधता के समय और सीमा को सीमित करने के लिए अभी भी अच्छा है, लेकिन आप क्लाइंट और टोकन रहस्यों के बिना एक्सेस टोकन का उपयोग नहीं कर सकते हैं। OAuth 1 की आवश्यकता नहीं है कि आप SSL का उपयोग करें, क्योंकि क्रिप्टोग्राफ़ी विनिर्देश में सही है।
OAuth 2 अलग है - यह तर्कसंगत रूप से अधिक महत्वपूर्ण है कि टोकन तक पहुंच गोपनीय रखी जाती है। इसलिए एपीआई प्रदाता को यह सुनिश्चित करना चाहिए कि एक्सेस टोकन, जो ओएथ 2 में बेयरर टोकन के रूप में भी जाना जाता है, केवल यथासंभव कम समय के लिए मान्य हैं। ये टोकन पासवर्ड की तरह काम करते हैं, और अगर हमलावर द्वारा तुरंत अवरुद्ध किया जा सकता है। इसलिए OAuth2 (भालू टोकन के साथ) विनिर्देश के लिए आवश्यक है कि सभी संचार एसएसएल पर हो - क्योंकि विनिर्देश में कोई क्रिप्टोग्राफी नहीं बनाई गई है। आमतौर पर एक्सेस टोकन की एक छोटी वैधता होती है, जिसे "रीफ्रेश टोकन" के साथ रीफ्रेश किया जा सकता है, जिसमें अधिक वैधता होती है लेकिन उपभोक्ता द्वारा शुरुआती भालू टोकन प्राप्त होने पर ही ट्रांसफर किया जाता है, और जब एक भालू टोकन रीफ्रेश किया जाता है।
स्रोत
2011-07-09 09:12:43
आपको यह स्पष्ट करना चाहिए कि आप OAuth 1 या OAuth 2 का जिक्र कर रहे हैं या नहीं। प्रोटोकॉल का संस्करण 1 एक साझा रहस्य, टोकन रहस्य का उपयोग करता है, जिसे कभी तार पर स्थानांतरित नहीं किया जाता है। इसलिए एक्सेस टोकन चोरी करना एक महत्वपूर्ण बिट के बिना एक कुंजी चोरी करना है। यह किसी भी ताला फिट नहीं होगा। – Matthias
मैं ओथ 2 के बारे में पढ़ रहा था और बस वही बात सोच रहा था। इच्छा है कि यहाँ एक जवाब था .. उच्च .. खोज जारी है। – Aishwar