Edu*_*cio 4 security rest oauth
按照 RFC 6749 的本节,授权服务器不得为隐式授权流颁发刷新令牌。
https://www.rfc-editor.org/rfc/rfc6749#page-35
我计划在单页面应用程序中使用带有刷新令牌的隐式授予流程,避免每次访问令牌过期时为用户请求新的授权过程。
有人能解释一下 RFC 中这种限制的原因吗?
谢谢 :)
Eduardo,在隐式授权流程中,客户端通过“用户代理”(也称为用户浏览器)请求访问资源。因此,客户端想要获取某些东西,但需要用户输入其权限。如果身份验证服务器提供了刷新令牌,那么客户端将来可以跳过向用户请求许可,并永远授予自己访问权限(本质上是在无需用户许可的情况下随时重新设置其令牌)。因此,他们在流程中禁止它,因为“不受信任”的客户端只能通过让用户输入其凭据的方式进行访问(因此仅当资源所有者允许时)。
| 归档时间: |
|
| 查看次数: |
755 次 |
| 最近记录: |