2012-01-13 65 views
0

HTTPs上是否需要OAuth(2-legged)? 在3段腳本中,我們使用oauth進行授權。 但Oauth(2-legged)通過https的目的是什麼。HTTPs上是否需要OAuth(2-legged)

在我的情況下,我是消費者和用戶,所以不需要授權 ,我使用https,https不可重放,也是安全通道。 什麼你說了,我應該使用ouath

我不是在談論3條腿或http

回答

0

據OAuth的規範,section 11.3

雖然的OAuth提供了用於驗證的 完整性機制請求,它不保證請求的機密性。除非 採取了進一步的預防措施,竊聽者將可以完全訪問 請求內容。服務提供商應仔細考慮可能作爲此類請求一部分發送的數據種類,並應採用傳輸層安全機制來保護敏感資源。

很顯然,如果你的請求不具有安全數據,例如USER_ID = 2 & MESSAGEID = 33,比沒有必要對於HTTPS,但在2條腿之情況,你在哪裏傳遞密碼而獲得訪問令牌,那麼您當時必須使用https。

在兩種情況下,無論是雙腿還是三腿,規則是,當您更新/獲取安全數據(例如信用卡更新,付款,密碼)時,您必須使用https。