Me pregunto cuáles son las razones para que OAuth 1.0 requiera un viaje de ida y vuelta al proveedor de datos para intercambiar un token de solicitud autorizado por un token de acceso.¿Por qué se debe cambiar un token de solicitud autorizado de OAuth 1.0 por un token de acceso?
Mi comprensión de la OAuth 1.0 flujo de trabajo es:
Solicitando sitio (consumidor) consigue un token de solicitud desde el sitio proveedor de datos (proveedor de servicios).
El sitio solicitante solicita al sitio del proveedor de datos que autentique al usuario, pasando una devolución de llamada.
Una vez que el usuario ha sido autenticado y autorizado el sitio solicitante, el usuario vuelve al sitio solicitante (consumidor) a través de la devolución de llamada que devuelve el token de solicitud ahora autorizado y un código de verificación.
El sitio solicitante intercambia el token de solicitud por un token de acceso.
El sitio solicitante utiliza el token de acceso para obtener datos del sitio del proveedor de datos.
Suponiendo que tengo ese derecho, ¿por qué no podría proporcionar la devolución de llamada simplemente el token de acceso al sitio que solicita directamente en el paso 3, eliminando el paso 4? ¿Por qué es necesaria la solicitud para intercambiar el token de solicitud del token de acceso? ¿Existe únicamente para los consumidores que requieren que los usuarios ingresen el código de verificación de forma manual, con la idea de que sería más corto y más simple que el token de acceso en sí mismo?
Esta respuesta a otra pregunta entra en detalles al respecto: http://stackoverflow.com/questions/3584718/why-is-oauth-designed-to-have-request-token-and-access-token/ 3663351 # 3663351 –