2
我们有开发利用REST-FUL移动应用程序的计划。我们想要应用OAuth 1.0a而不是OAuth 2.0,因为我们不使用SSL。我们也不想使用Web浏览器(我们认为基于PIN-UX并不友好)。我们知道使用正常的OAuth流程是不可能的。的OAuth没有浏览器和SSL /质询 - 响应模型
我不是在安全架构方面的专家,但我谷歌在网上看到有人使用类似的质询 - 响应模型的方法登录一个FPGA实现。
如果我们的应用程序并不需要保留用户名安全和用户信任我们,在我们的应用程序输入自己的密码,可以在此方法是用来交换访问令牌?有什么缺陷吗?
- 服务器响应未授权请求令牌后,客户端开始质询 - 响应流程。
客户端发送请求到http://www.example.com/login,与像OAuth的参数要求:oauth_consumer_key,组oauth_token,oauth_signature_method,oauth_timestamp,oauth_nonce和附加用户名参数username = “用户名”,从该用户的密码计算的密码参数(其被存储在服务器),与oauth_nonce KDF密钥导出函数/散列函数。客户端使用OAuth描述来计算请求签名,但在省略了密码参数后,用参数username和其他所需参数发送请求。
服务器检查请求,并返回访问令牌。