所以很显然，使用OAuth 1.0时，你需要获得消费者从API提供密钥和消费者秘密......

但后来当我尝试使用OAuth 2.0 API，如Facebook，谷歌的OAuth 2.0，等我从来没有获得消费者的关键/消费者的秘密需要（我收购了Facebook的应用程序ID和App秘密，但这些都是从消费者的键/消费者的秘密不同我对么？）

所以我的问题是...是真的，使用OAuth 2.0的时候，你不需要有一个消费者键/消费者的秘密中的Oauth 1.0

还有一些没有签名的方法（HMAC-SHA1等）必要的OAuth 2.0，是正确的？ HMAC-SHA1仅是OAuth 1.0相关的，对不对？

1. OAuth的2个提供商通常发出你的标识符为客户端/应用程序和一些秘密/口令，OAuth的草案要求这些客户端标识符和客户端密钥 。 这些都是用来检查一个电话真的被你的应用程序发出。 然而，OAuth的涵盖不同的授权格兰特流这或多或少安全，不都需要某种秘密。 谷歌称他们的客户端ID和客户端密钥 ，Facebook的称他们为应用程序ID和App秘密 ，但他们都是一样的。
2. 是的，所有的加密步骤的OAuth 2被转移到服务器端。

你指的是被称为客户端凭证授权拨款流程授予在OAuth 2规范流程。 它是干什么用的应用程序的唯一身份验证。 这意味着没有用户参与。 一个典型的例子是一个主页上Twitter的饲料的显示。

通常情况下，应用程序通过这两种消费者密钥（或应用ID）和用户密钥（或应用程序的秘密）通过HTTPS服务器。 该请求仅HTTPS保护; 没有额外的加密。 服务器返回一个标记，你可以从这一点上使用，使请求的API - 赋予它不需要用户上下文。

消费者键（或应用程序ID）标识您的应用程序，并可能有一个有意义的值。 通常你不（或不能）再改变这一点。 消费者秘密然而情况下可以再生，你认为它已经被入侵。 这就解释了为什么有两个键。

再生消费者的秘密是，不会帮助你，如果消费者密钥和消费者秘密已经泄露令牌无效不同。

两者都是相同的。 使用的术语是由应用程序/用户/客户端不同。 这就是it.Both相同。