質問に基づいて私はhereと尋ねましたが、私はこのことについてstackoverflowコミュニティからのフィードバックを得たいと考えていました。twitter oauth_verifierは必須ではありませんか?
oauthのtwitter APIを使用してテストしたようですが、ステップEのサービスプロバイダ(twitter)が行う必要があるoauth_verifierのチェックは、http://oauth.net/core/diagram.pngのapi.twitter.comでは実行されていません。これは、oauth_callbackがoob
か通常のコールバックURLかどうかに関係なく発生します。
twitterでこれをテストするのは簡単です。アクセストークンを取得するために、ステップFの一部としてoauth_verifierパラメータを送信しないでください。
この問題は再現しやすいはずですが、必要に応じてテストコードを投稿することができます。
oauth_verifierは、セッション固定の脅威に対するソリューションの一部であり、oauth 1.0a仕様でのみ導入されました。このtwitterのために、APIはアプリケーション開発者に後方互換性の破壊を避けるためにそれを使用させることを強要しないかもしれません。
- これは間違いありませんか?あるいはoauthの仕様を誤解していますか?
- これは、oauth1.0aに準拠する必要がある他のAPIでも発生しますか? (LinkedInの等。)
PS - This questionは多少関連ではありませんが、Twitterのコールバック(oob
と定期的なコールバック)の両方のタイプのoauth_verifierを返しているので、問題はもはや適用されます。