首先，并不是为了增加sign被猜出来的难度。timestamp+nonce主要是为了防止重放攻击。攻击者可能截获请求，然后反复发送请求(注意，并不是篡改)，这时服务端校验签名是能够校验通过的。服务端为了防止这种攻击，要求调用方：即使每次请求的其他参数相同，也要重新生成...

access token 是应用方访问资源服务器的接口时，需要提供的一个令牌。拥有这个令牌代表着得到用户的授权。然而，这个授权应该是临时的，有一定有效期。这是因为，access token 在使用的过程中可能会泄露。给 access token 限定一个较短的有效期可以降低因 access tok...

这个模型涉及到三方：资源拥有者（用户）、应用方（A）、服务提供方（B）。其中，服务提供方包含两个角色：鉴权服务器和资源服务器。鉴权服务器负责对用户进行认证，并授权给应用方权限。认证这一步好实现，无非就是验一下账号密码。但是授权这一步怎么做？这里参考Q...

假设有两家互联网企业 A 和 B，其中 B 是一家提供相片云存储的公司。即 B 的用户可以把相片上传到 B 网站上长期保存，然后可以在不同的设备上查看。某一天，A 和 B 谈成了一项合作：希望 B 用户在使用 A 的客户端时，也可以观看他在 B 的相片。假设你是技术负责人，...