那些遇到过的问题

OAuth中授权代码的目的是什么

Nic*_*oft 5 api oauth server-side oauth-2.0

在oauth中,您使用客户端ID /密码进行请求以获取授权码。然后,您再次发出请求,以将授权代码交换为访问令牌。我的问题是:

为什么需要两步过程而不是首先获得访问令牌?如何使整个过程更安全?还是还有其他原因。

我说的是服务器端应用程序(例如php),它从远程服务器而不是javascript请求授权。

Jak*_*ski 7

可以通过单个请求来完成它——它被称为隐式流。有一个response_type设置为tokenor 的请求id_token token

使用访问代码(授权流程)而不是直接返回令牌的一般想法是对最终用户隐藏它们。第二个请求通常由后端服务器而不是浏览器完成。

您可以在此处找到更多详细信息:https : //auth0.com/docs/api-auth/which-oauth-flow-to-use

注意:有关完整答案,请阅读评论。

  • 但访问代码不会对用户(或用户计算机上的软件)隐藏。如果像浏览器插件这样的不良软件首先将访问代码交换为令牌怎么办?授权服务器使用redirect_url作为登陆页面,而是通过直接post请求将代码发布到客户端应用程序而不通过用户浏览器,这不是更安全吗? (2认同)
  • 访问代码不是 - 但是要将访问代码交换为令牌,您需要提供用户未知的 client_id 和 client_secret 。 (2认同)

归档时间:

查看次数:

228 次

最近记录:

6 年,8 月 前
相关归档
Java OAuth服务器 12
如何知道桌面客户端上是否有Skype活动 5
根据 CORS 预检响应中的标头“Access-Control-Allow-Headers”,不允许使用“content-type” 4
使用 OAuth 的 Office 365/EWS 身份验证 3
Paypal api oauth 3
优步API iOS OAuth 2.0 2
如何使用 w3c 验证器 API 1
如何在iOS 7中使用LinkedIn Share Api 0
如何在github项目中获取供应商文件夹 0
hwi oauth软件包和Symfony 4.2:无法安装 0
难疑归档
如何在Bash中连接字符串变量 2624
如何通过引用传递变量? 2480
找到已安装的npm软件包的版本 2037
什么是反思,为什么它有用? 2011
当用户将鼠标悬停在列表项上时,将光标置为手 1871
在SQL表中查找重复值 1789
如何生成随机字母数字字符串? 1679
从字典中删除元素 1243
如何完全卸载Node.js,并从头开始重新安装(Mac OS X) 1196
UTF-8一路走来 1146