Cod*_*Med 12 spring oauth oauth-2.0 spring-security-oauth2 spring-oauth2
我正在对Spring OAuth进行深入研究,我发现了一些相互矛盾的信息.有人可以澄清一下吗?
具体来说,本教程指出/oauth/token端点在向客户端应用程序授予刷新令牌之前处理用户名和密码.相比之下,春OAuth的开发手册中提到的/oauth/authorize和/oauth/token终点,但仍没有得到具体的关于他们如何工作.
是否/oauth/authorize做了100%的username/password/nOtherFactors检查,然后将信号/oauth/token端点发送一个刷新令牌给客户,让客户端将发送更新凭证到/oauth/token终点?
或者全部是由/oauth/token端点处理的?
之间的关系是/oauth/authorize和/oauth/token不同的对不同类型的补助?怎么样?
Som*_*dda 15
根据OAuth 2.0规范,授权和令牌端点具有不同的用途.
授权端点是资源所有者(用户)登录并授予客户端授权的地方(例如:在浏览器中运行的Web应用程序或在移动设备上运行的应用程序).这通常用于资源所有者的用户代理(例如:浏览器)重定向到身份服务器(授权服务器)进行身份验证的情况.资源所有者的用户代理可以直接访问访问令牌.
令牌端点是客户端(例如:服务器端API或移动应用程序)调用以交换访问令牌的授权码,客户端ID和客户端密钥的位置.在此方案中,仅为用户代理提供授权代码,不能直接访问访问令牌.客户端是可信方,可以从授权服务器访问客户端ID和客户端密钥(这就是为什么我提到服务器端API作为客户端).
请阅读这篇文章,它有更好的解释.
| 归档时间: |
|
| 查看次数: |
13337 次 |
| 最近记录: |