[11] 一時credentialsは、 OAuth 1.0 の認可の過程においてクライアントからのアクセス要求を識別するものです。 一時credentials要求は、 クライアントが鯖から一時credentialsを取得するための HTTP要求です。
[2] temporary credentials のことを元は request token および request token secret と呼んでいました >>1。
[5] temporary credentials は、認可の間クライアントからのアクセス要求を識別するために使います >>3。 temporary credentials は、識別子と共有秘密の2つの値の組によって表されます。
[4] temporary credentials は、temporary credentials要求によって鯖からクライアントに発行されます。
[6] temporary credentials は、資源所有者認可においてアクセス要求を識別するために使います。
[7] temporary credentials は、トークン要求においてクライアントが鯖からtoken credentialsを得るために使います。
[8] 鯖は、token credentialsを得るために temporary credentials が使われた後、temporary credentials を取り消し (revoke) しなければなりません >>3。
[9] temporary credentials の寿命は限定するべきです >>3。
[12] クライアントは、 一時credentials要求によって鯖から一時credentialsを得ることができます。
[14] クライアントは、鯖から何らかの方法で広告されたエンドポイントの URL を要求URLとして使います >>10。
[18] 鯖は保安通信路を使うことを要求しなければなりません >>10。
[13] クライアントは、要求メソッドとして POST
を使います。 >>10
[25] 一時credentials要求は、認証された要求です >>10。
[15] クライアントは oauth_callback
引数を指定しなければなりません >>10。
[35] クライアントは oauth_body_hash
引数を指定するべきではありません >>34。
[17] クライアントは、クライアントcredentialsのみ使って認証します。
トークンcredentialsは使いません。
空の oauth_token 引数は省略しても構いません。
token secret の値は空文字列としなければなりません。 >>10
[29] Twitter xAuth は x_auth_access_type
引数を規定しています >>28。
[26] Google は scope 引数を必須、
xoauth_displayname 引数を省略可能としていました >>27。
[33] はてなは scope 引数を必須としています >>32。
[20] 鯖は要求を検証し、 妥当であるなら一時credentials (識別子と共有秘密) を応答しなければなりません >>10。
[21] 一時credentialsを送る場合、状態符号は 200 で、
MIME型は application/x-www-form-urlencoded とします >>10。
そこには、次の引数を含めなければなりません >>10。
token と名前に含まれるがトークンではない」
との注記があります。元々「要求トークン」と呼ばれていた (>>2) のに IETF
が後から用語だけ変えてしまったせいでおかしなことになっています。application/x-www-form-urlencoded
を使いながらも、 Content-Type: には text/html
を指定します。このためクライアントは Content-Type:
ヘッダーを無視しなければなりません。 [31] OAuth 1.0 本体仕様としてはエラー時の応答については規定していません。 OAuth Problem Reporting Extension は報告方法を規定しており、 実装によってはこれに対応しています。
[36] OAuth 2.0 では一時credentialsに相当するものはなくなっています。