2
我們有開發利用REST-FUL移動應用程序的計劃。我們想要應用OAuth 1.0a而不是OAuth 2.0,因爲我們不使用SSL。我們也不想使用Web瀏覽器(我們認爲基於PIN-UX並不友好)。我們知道使用正常的OAuth流程是不可能的。的OAuth沒有瀏覽器和SSL /質詢 - 響應模型
我不是在安全架構方面的專家,但我谷歌在網上看到有人使用類似的質詢 - 響應模型的方法登錄一個FPGA實現。
如果我們的應用程序並不需要保留用戶名安全和用戶信任我們,在我們的應用程序輸入自己的密碼,可以在此方法是用來交換訪問令牌?有什麼缺陷嗎?
- 服務器響應未授權請求令牌後,客戶端開始質詢 - 響應流程。
客戶端發送請求到http://www.example.com/login,與像OAuth的參數要求:oauth_consumer_key,組oauth_token,oauth_signature_method,oauth_timestamp,oauth_nonce和附加用戶名參數username = 「用戶名」,從該用戶的密碼計算的密碼參數(其被存儲在服務器),與oauth_nonce KDF密鑰導出函數/散列函數。客戶端使用OAuth描述來計算請求籤名,但在省略了密碼參數後,用參數username和其他所需參數發送請求。
服務器檢查請求,並返回訪問令牌。