Estoy tratando de entender un protocolo de verdad. Actualmente estoy buscando en la sección de credenciales temporales de oauth 1.0 sepecification .
No puedo entender por qué se necesita el secreto junto con las credenciales temporales. El secreto se envía con el token en sí. Así que si alguien que no sea la aplicación puede obtener el token, también puede obtener el secreto. ¿Correcto? Entonces, ¿cuál es la razón para agregar un secreto?
El secreto se envía una sola vez desde el proveedor de OAuth al servidor de la aplicación a través de la conexión SSL y luego se almacena en el sitio de la aplicación para no dejarlo más tarde, mientras que una parte abierta del token viaja desde un cliente al sitio de la aplicación con cada solicitud (por ahora, deja el almacenamiento en caché de sesión ). SSL está diseñado para resistir el olfateo, se implementa correctamente y emplea los últimos algoritmos fuertes, por lo que, sin comprometer los algoritmos SSL, el esquema de certificación SSL o el sitio de la aplicación en sí (quizás, el enlace más débil ...), no es prácticamente posible obtener secretos y falsificar falsificaciones. solicitud de clientes no autorizados.
Lea otras preguntas en las etiquetas authentication oauth encryption