是否有一个OAuth实施或配置文件在一次交互中使用多个授权令牌的示例?这可以用香草OAuth(而不是扩展名)完成吗?是否有任何关于在一个请求中使用多个令牌的原因的讨论?具有多个授权令牌的OAuth示例?
OAuth WRAP使用两个令牌,但只有一个是授权令牌;另一个是用于获取新授权令牌的请求令牌。这背后的推理是什么?这会不会仅仅为了让令牌传递更简单而将会话烧入单个授权令牌?有人建议在多种交互中以这种方式构建OAuth授权令牌吗?
在标准OAuth中,“受保护的资源请求”(即请求检索某些需要使用OAuth进行身份验证的资源)只携带一个OAuth令牌。消费者密钥也被发送。与这些令牌中的每一个相对应的秘密一起用于生成签名。
WRAP也有一个访问令牌的概念,但它引入了一个刷新令牌是不列入受保护资源的请求,但在直接请求将被发送从客户机到服务提供商时,客户端的访问概念令牌已过期并需要获取新令牌。
与OAuth令牌不同,WRAP令牌没有关联的秘密,而是更像是临时会话标识符。由于此令牌可能会暴露在浏览器Cookie或其他浏览器状态中,因此WRAP允许该令牌的寿命较短,允许在用户注销或短时间不活动后丢弃该令牌。刷新令牌仅为客户端和服务提供商所知,因此寿命更长。
刷新令牌在OAuth中不是必需的,因为令牌机密仅用作客户端和服务提供商已知的秘密。
这两个协议都有两个值供客户端跟踪,其中一个比另一个私有更多,但WRAP以不同方式使用更多私有令牌,因此实现者不需要生成和验证签名。