在我查看的所有OAuth2文档中,包括Oauth2 spec,Oauth2授权代码流程在服务器端同时拥有刷新和访问令牌的位置结束。
作为网络应用的服务器端,我希望不是在这里完成流程,而是使用access \ refresh标记响应我的网络用户代理 - 这是为了让我的用户代理稍后使用auth的访问令牌调用我的应用程序的服务器端API(应用程序的服务器端将验证针对授权服务器的令牌)。 / p>
隐式流可能是我应该在这里使用的流程(对吗?),但我公司的授权服务器现在只支持授权代码流(而不是隐式流)。
我考虑在授权API的重定向网址中添加重定向网址作为查询参数。 这样,当授权流程结束,我的应用程序服务器端将获得令牌时,它将重定向回用户代理的URL,提供access \ refresh令牌作为哈希片段
服务器端以这种方式使用令牌重定向到用户代理是否安全?
有没有更好的做法可以重定向回用户代理?