api - Oauth 2.0 是否需要消费者 key /消费者 secret

Question

所以很明显，在使用 OAuth 1.0 时，您需要从 API 提供者那里获取消费者 key 和消费者 secret ......

但是当我尝试使用 OAuth 2.0 API 时，例如 Facebook、Google Oauth 2.0 等，我从不需要获取消费者 key /消费者 secret (我为 Facebook 获取了 App ID 和 App secret ，但这些与消费者 key /消费者 secret 不同我对么？)

所以我的问题是……在使用 Oauth 2.0 时，您是否不需要像 Oauth 1.0 那样拥有消费者 key /消费者 secret ？

Oauth 2.0 也不需要签名方法(HMAC-SHA1 等)，对吗？ HMAC-SHA1 仅与 Oauth 1.0 相关，对吗？

Answer 1

OAuth 2 提供商通常会为您的客户端/应用程序提供一个标识符和一些 secret /密码，OAuth 草案将这些称为 client identifier and client secret .这些用于检查调用是否真的由您的应用程序发出。但是，OAuth 涵盖了不同的 Authorization Grant flows这些或多或少是安全的，并不都需要某种 secret 。 Google 称它们为 client ID 和 client secret，Facebook 称它们为 App ID 和 App Secret，但它们都是一样的。

是的，所有加密步骤都在 OAuth 2 中移至服务器端。