OAuth签名检查仅由url /o进行,还有其他的吗?
OAuth签名检查仅由url /o进行,还有其他的吗?
提问于 2011-12-19 14:48:12
我是否可能只通过一个url来验证oauth_signature?
我有OAuth的消费者秘密,但我不有象征性的秘密,我的位置像中间人,但我不想改变任何东西,但只是验证这个oauth请求是否有效。我得到的只是一个简单的url,其中包含了一些标准内容,比如:
- oauth_consumer_key
- oauth_token
- oauth_signature_method (总是HMAC-SHA1)
- oauth_timestamp
- oauth_nonce
- oauth_signature.
)
我能用这些东西来验证吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2011-12-19 21:30:59
您不能检查请求是否有效(在经过身份验证的情况下),这意味着您已经成功地攻击了OAuth提供程序,这应该是不可能的,除非您成功地获得了使用者和令牌的秘密。
如果您只想检查请求是否包含格式良好的OAuth请求中所需的参数,那么您就快到了。
但是,对于所有请求也需要oauth_version参数,对于有效的OAuth 1.0a请求,应该始终为1.0。
如果请求是针对访问令牌的,那么也应该有一个oauth_verifier。
如果请求是针对请求令牌的,那么就不需要oauth_token。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/8562995
复制相关文章
相似问题
腾讯云开发者
