Oauth 2.0是否需要消费者密钥/消费者机密

Question

因此，很明显，当使用API1.0时，您需要从OAuth提供者处获取消费者密钥和消费者机密……

但是，当我尝试使用Facebook、Google OAuth 2.0等Facebook 2.0API时，我从来不需要获取消费者密钥/消费者机密(我为Oauth获取了应用程序ID和应用机密，但它们与消费者密钥/消费者机密不同，我说的对吗？)

因此，我的问题是，在使用OAuth2.0时，不需要像在OAuth1.0中那样拥有消费者密钥/消费者机密( consumer key/consumer secret )，这是事实

另外，Oauth 2.0不需要签名方法(HMAC-SHA1等)，对吗？HMAC-SHA1只与Oauth 1.0相关，对吗？

Answer 1

1. OAuth 2提供商通常会为您的客户端/应用程序提供一个标识符和一些秘密/密码，OAuth草案称这些为 and 。它们用于检查调用是否是由您的应用程序发出的。然而，OAuth涵盖了不同的Authorization Grant flows，它们或多或少都是安全的，并不都需要某种类型的秘密。谷歌称它们为客户端ID和客户端秘密，脸书称它们为应用ID和应用秘密，但它们都是一样的。
2. 是的，在OAuth 2中，所有的加密步骤都被移到了服务器端。

Answer 2

您所指的授权授予流在OAuth 2规范中称为客户端凭据授予流。它用于执行仅应用程序身份验证。这意味着不涉及任何用户。一个典型的例子是在主页上显示twitter提要。

通常，应用程序通过HTTPS将消费者密钥(或应用程序ID)和消费者机密(或应用程序机密)传递给服务器。此请求仅受HTTPS保护；没有额外的加密。服务器返回一个令牌，您可以从那时起使用该令牌向API发出请求-假设它不需要用户上下文。

使用者密钥(或应用程序ID)标识您的应用程序，并且可能具有有意义的值。您通常不会(或不能)再更改此设置。但是，如果您认为消费者秘密已被泄露，则可以重新生成它。这就解释了为什么有两个关键字。

重新生成消费者机密不同于使令牌无效，如果消费者密钥和消费者机密已被泄露，则无效令牌不会对您有所帮助。

Answer 3

两者都是一样的。使用的术语因应用程序/用户/客户端而异。它们的it.Both是一样的。