什么是OAuth中的OOB？

Question

我才刚刚开始探索OAuth和我对相关术语几乎没有任何线索。在PHP代码片段中，我看到：

// Callback can either be 'oob' or a url

$callback='oob';

我想知道oob是什么？

Answer 1

oob通常代表“带外”。我假设这是为了支持通过未指定方法的OAuth响应。

Answer 2

OOB是传统的OAuth流的3步流程的替代方案(称为3条腿的OAuth)。授予消费者访问权限后，用户不会被重定向，而是向用户显示需要在消费者应用程序中手动输入的代码。下面的步骤2b中概述了其中的区别。

An OAuth1a flow

步骤1:获取一个可用于访问用户授权request_token的短期URL。

步骤2:使用request_token访问并向用户显示用户授权URL。用户将看到一个屏幕，在那里他可以接受或拒绝访问；典型的“您是否希望代表您给予App ABC访问权限？”。

步骤2a (回调url)：如果已经提供了callback_url，则用户将被重定向到该回调URL。URL将包含参数oauth_verifier，该参数包含步骤3所需的代码。

回调步骤2b ( is callback_url如果callback_url设置为oob，则不会重定向用户。相反，oauth_verifier代码会显示给用户。这必须由提供程序实现。用户可以在消费者应用程序(通常是移动应用程序或任何其他非基于浏览器的应用程序)中使用此代码来继续执行步骤3。

步骤3:使用oauth_verifier代码(和请求令牌)来获取长生命周期的access_token。消费者现在可以在他的OAuth调用中使用这个令牌来调用提供者的(REST)-API (请求仍然需要其他OAuth参数并需要签名，等等)。

更多信息：

Pin based authorization with Twitter API

OAuth1a core specification - Request URLs