Rfc6749指出,获得授权码后,我们可以针对accessToken交换此代码。
我想知道授权服务器如何知道最初接收代码的人的身份? 我在规范中看不到代码与“获取代码”步骤中经过身份验证的用户相关联
答案 0 :(得分:2)
redirect_url和代码的组合提供了有关谁的信息。然后将其用于查找正在进行的事务。这是特定于实现的,有关如何使用这些项目查找原始授权请求。
在最简单的视图中,该代码用于为已经批准的授权请求请求访问令牌。只有注册的URL(端点)会收到该代码,该代码可确保所生成令牌的保密性/安全性。