Nella sezione 6.1.1. Consumer Obtains a Request Token del OAuth Spec dice che è necessario inviare una richiesta che contiene il seguente paramter:"Che cosa" firma oauth_signature?
oauth_signature:
The signature as defined in Signing Requests.
ma come si può firmare la richiesta se il oauth_signature
è di per sé una parte di esso? Voglio dire, "cosa" firmi? Tutti i campi eccetto il oauth_signature
o cosa?
Ad esempio, nel The OAuth 1.0 Protocol forniscono il seguente esempio di ottenere le credenziali temporanee:
POST /initiate HTTP/1.1
Host: photos.example.net
Authorization: OAuth realm="Photos",
oauth_consumer_key="dpf43f3p2l4k3l03",
oauth_signature_method="HMAC-SHA1",
oauth_timestamp="137131200",
oauth_nonce="wIjqoS",
oauth_callback="http%3A%2F%2Fprinter.example.com%2Fready",
oauth_signature="74KNZJeDHnMBp0EMJ9ZHt%2FXKycU%3D"
Ma come hanno fatto ad ottenere il campo oauth_signature
? Che cosa erafirmato?
Siamo spiacenti, nuovo a crypto - così la spiegazione fittizia sarebbe apprezzata.
Aah! Vedo, [Sezione 9] (http://oauth.net/core/1.0/#signing_process) fornisce una chiara spiegazione su come farlo, affermando in 9.1.1 che 'Il parametro oauth_signature DEVE essere escluso. – drozzy