OAuth2对授权代码授予的隐式授权有什么优势?
具体来说,我想知道为什么建议公共客户使用隐式授权,但授权代码授权不是.它们看起来非常相似,差别并不重要.
Sco*_* T. 12
授权代码步骤的好处如下(来自OAuth 2.0规范1.3.1):
授权代码提供了一些重要的安全优势,例如对客户端进行身份验证的能力,以及将访问令牌直接传输到客户端而不将其传递给资源所有者的用户代理,从而可能将其暴露给其他人,包括资源所有者.
通常,如果您的客户端是服务器端(Web应用程序) - 您应该使用授权代码授予.如果它是基于JavaScript的应用程序(客户端) - 隐式是合适的.对于移动应用程序,如果使用外部浏览器(未嵌入),则通常首选授权代码授予类型.
客户端机密仅适用于服务器端应用程序,因为客户端的秘密需要嵌入到软件中 - 因此只能保密很长时间(可以进行逆向工程).
| 归档时间: |
|
| 查看次数: |
2073 次 |
| 最近记录: |