oauth为什么要传输secret
要表示身份,appid够了,要加密加签,服务端就有这个密钥,传过去徒增被拦截风险
考虑到客户端之不可信,三方程序员很有可能不验证签名直接完成握手,secret有很大可能泄漏
可以用secret作为盐来签名,用secret给appid➕时间戳签名,然后传输那个签名,secret放客户端不传输
时间戳服务端5秒幂等➕5秒超时,这样即使签名被拦截也不会被滥用
要表示身份,appid够了,要加密加签,服务端就有这个密钥,传过去徒增被拦截风险
考虑到客户端之不可信,三方程序员很有可能不验证签名直接完成握手,secret有很大可能泄漏
可以用secret作为盐来签名,用secret给appid➕时间戳签名,然后传输那个签名,secret放客户端不传输
时间戳服务端5秒幂等➕5秒超时,这样即使签名被拦截也不会被滥用