我是否需要使用 oAuth 来保护 REST 请求正文的安全？

Question

我正在构建 REST API 并使用 oAuth 进行授权。我的问题是，如果 PUT 和 POST 请求包含数据，我是否需要对请求正文执行任何操作？如果这有什么区别的话，我正在使用 SSL。

在我看来，url 是通过 oAuth 签名验证的，但正文的内容可以是任何内容。不过，我不确定这是否是一个问题，因为如果 URL 签名正确，那么他们就提供了正确的凭据来执行插入或更新。我也使用随机数来防止重放攻击，但我想避免由于误解如何处理请求正文而产生安全问题。

感谢您的任何建议。

Answer 1

我通过一些 OAuth 库找到了答案。它不是规范的正式部分，但某些服务和库在请求标头中使用“xoauth_body_signature”和“xoauth_body_signature_method”来发送正文内容的签名。

显然，实施方面存在一些挑战，可以通过谷歌搜索 xoauth_body_signature 找到讨论。似乎没有很多人这样做。