浏览 6475 次
|
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2012-07-03
最后修改:2012-07-04
最近研究了OAuth2.0,发现各大网站在提供标准的实现同时,还扩展了个sessionKey,我不太理解这个sessionKey有什么作用呢?
引用 用户授权之后,获取到一个access token和一个refresh token,还有一个是session key,这个是国内大多数开放平台自己添加的一个标记,可以让用户使用http来调用api,如果没有它,用户只能通过https来调用api.session key的生命周期和access token是相同的.
上面一段是网上看到的一段话,但是还是不能理解session Key有什么作用。 百度的oauth2.0的使用文档中给出这样一句话: 引用 获取Access Token时所返回的session_key和session_secret参数不是OAuth2.0协议标准规定的返回参数,而是百度OAuth2.0服务扩展加入的,目的是使得开发者可以基于http调用百度的Open API,因为基于https调用Open API虽然更为简单,但毕竟响应速度更差(比基于http的要差一倍时间左右)。
通常我们使用accessToken + https协议来访问开放接口,https保证了传输安全. 而https需要多次握手过程,效率差点我也能理解。我不能理解的是使用sessionKey + http协议来访问开放接口,又如何保证传输安全? 希望朋友们能帮忙解惑。 声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
| 返回顶楼 | |
|
发表时间:2012-07-03
呵呵,通过session会话保持通讯吧
|
| 返回顶楼 | |
|
发表时间:2012-07-03
我觉得更多的是考虑唯一认证的可能性多一些吧。
|
| 返回顶楼 | |
|
发表时间:2012-07-03
oauth2.0有refresh token么?我记得只有request token、access token吧?
|
| 返回顶楼 | |
|
发表时间:2012-07-04
Dead_knight 写道 oauth2.0有refresh token么?我记得只有request token、access token吧?
OAuth2提供4种获取token方式,我这里主要是问Authentication Code这种方式。 oauth2中refresh token是用来进一步获取token,保存长时间的access token有效。 你说的request token是oauth1.0版本里面的概念吧。 |
| 返回顶楼 | |
