Je me demande quelles sont les raisons pour OAuth 1.0 d'exiger un aller-retour au fournisseur de données pour échanger un jeton de demande autorisé pour un jeton d'accès.Pourquoi un jeton de requête OAuth 1.0 autorisé doit-il être échangé contre un jeton d'accès?
Ma compréhension du flux OAuth 1.0 est:
site demandeur (consommateur) reçoit un jeton de demande à partir du site du fournisseur de données (fournisseur de services).
Le site demandeur demande au site du fournisseur de données d'authentifier l'utilisateur, en passant un rappel. Une fois que l'utilisateur a été authentifié et autorisé sur le site demandeur, l'utilisateur est redirigé vers le site demandeur (consommateur) via le rappel fourni qui renvoie le jeton de demande maintenant autorisé et un code de vérification.
Le site demandeur échange le jeton de demande pour un jeton d'accès.
Le site demandeur utilise le jeton d'accès pour obtenir des données du site du fournisseur de données.
En supposant que je suis arrivé ce droit, pourquoi ne pouvait pas le rappel simplement fournir le jeton d'accès au site demandant directement à l'étape 3, l'élimination de l'étape 4? Pourquoi la demande d'échange du jeton de demande pour le jeton d'accès est-elle nécessaire? Existe-t-il uniquement pour les consommateurs qui demandent aux utilisateurs d'entrer le code de vérification manuellement, en pensant qu'il serait plus court et plus simple que le jeton d'accès lui-même?
Cette réponse sur une autre question va dans certains détails sur le sujet: http://stackoverflow.com/questions/3584718/why-is-oauth-designed-to-have-request-token-and-access-token/ 3663351 # 3663351 –