Я думаю, что двухногий сценарий oauth не включает в себя создание жетонов. Токены требуются, когда пользователь участвует во взаимодействии (3-й этап), потому что пользователю требуется авторизация этого токена.
Пользователь не участвует непосредственно в двухстороннем oauth, поэтому нет авторизации токена и, следовательно, нет необходимости хранить и создавать токены.
В основном двухсторонний oauth означает, что вы, как потребитель, должны ЗАРЕГИСТРИРОВАТЬ запрос, который вы передаете провайдеру с вашим общим секретом ПОТРЕБИТЕЛЯ (о котором поставщик также знает), так что поставщик знает, WHICH потребитель делает запрос - это способ проверить, что это действительно ваше приложение, которое требует данных. Но поскольку пользователь (3-й этап) не участвует, поставщик не создает маркер, который вам не нужен, потому что он вам не нужен - вы просто получаете прямой доступ к данным, если поставщик поддерживает двухногий, и ваше приложение разрешено использовать эти данные.
Вот хорошая статья, которая может более подробно объяснить поток для двухногих и трехногих процессов.
http://hueniverse.com/2008/10/beginners-guide-to-oauth-part-iii-security-architecture/
Просто, чтобы добавить что-то в качестве заключения:
2-ноги OAuth является только метод аутентификации - потребитель аутентифицировать себя через подписание запроса с его секретным ключом (это проверяет, который потребитель действительно делает запрос).
3-legged oauth - это аутентификация и авторизация - аутентификация потребителя путем подписания запроса его секретным ключом, и он получает неавторизованный токен запроса, который затем должен быть разрешен пользователем, чтобы потребитель мог разрешить авторизованные запросы поставщику.
вы можете различать 2 и 3 ножных oauth, проверяя, прошел ли токен. Если есть токен, то это 3 ноги, поэтому этот ответ получает мой голос. – iain
эта ссылка очистила многие из моих сомнений. Благодарю. – iamgopal