Почему OAuth предоставляет токен доступа и секрет токена доступа? Почему не просто одно значение?

Почему OAuth включает как токен доступа, так и секрет токена доступа как два отдельных значения? Как потребитель или OAuth, все рекомендации, которые я видел, указывают на то, что я должен хранить токен и секрет вместе и, по сути, рассматривать их как одно значение.

Итак, почему спецификация требует в первую очередь двух значений?

Ответы

Ответ 1

Собственно, секрет токена доступа никогда не передается провайдеру. Вместо этого запросы передают токен доступа, а затем используют секрет для подписи запроса. Вот почему вам нужны оба: один для идентификации и один для защиты

Ответ 2

Есть 2 секреты, один - секретный секрет, а другой - секрет потребителя. Секреты используются для подписи запросов (для генерации oauth-подписи), но не передаются в заголовке запроса, где токен отправляется в заголовке, чтобы идентифицировать клиента и проверить, имеет ли он доступ.