那些遇到过的问题

为什么授权授予流程跳过授权代码只返回访问令牌?

sta*_*lei 5 access-token oauth-2.0

我正在从这里学习 O Auth 2

在此输入图像描述

我想知道在“授权服务器使用授权代码将用户代理重定向到客户端”步骤中,为什么服务器不只提供访问令牌?为什么要提供授权码然后​​用于获取访问令牌?为什么不直接提供访问令牌呢?是不是因为每个资源都有不同的访问令牌,需要再次通过O Auth才能访问不同的资源?

Ján*_*aša 0

授权授予代码可以通过不安全或有潜在风险的环境,例如基本 HTTP 连接(不是 HTTPS)或浏览器。但如果没有客户秘密,它就毫无价值。客户端可以是后端应用程序。如果 OAuth2 服务器返回令牌,它可能会受到损害。

还有另一个 OAuth2 流 -隐式流,它在身份验证后立即返回访问令牌,但它主要是为 JavaScript 应用程序或其他可以安全使用它的部署而设计的。

归档时间:

查看次数:

1175 次

最近记录:

2 年,1 月 前
相关归档
使用回调网址创建Facebook应用 19
使用requests_oauth2的教程 12
SpringBoot 1.5.x +安全+ OAuth2 12
如果 OAuth2 访问令牌可以被盗,为什么假设刷新令牌也可以被盗就不安全了? 6
你如何在dart 1.0中使用OAuth2? 5
Google OAuth:未配置访问权限 5
如何在GAE/Python上进行'access_type = offline'/仅服务器OAuth2操作? 4
Nativescript Webview回调uri 4
内存中的 JWT 访问令牌? 4
OIDC 中的 OAuth2 角色 2
难疑归档
如何从当前的Git工作树中删除本地(未跟踪)文件? 6561
停止EditText在Activity启动时获得焦点 2770
按字符串属性值对对象数组进行排序 2535
如何检查字符串是否包含Bash中的子字符串 2332
为什么GCC不优化a*a*a*a*a*a到(a*a*a)*(a*a*a)? 2083
检索HTML元素的位置(X,Y) 1418
如何为项目中的单个文件禁用ARC? 1332
如何使用jQuery设置/取消设置cookie? 1209
如何使用SSH在远程计算机上运行shell脚本? 1164
获取对象类型的名称 1159