实施OAuth2协议时,是否可以将授权传递给第二个客户端,类似于CAS中的代理身份验证?
用户通过客户端网站进行身份验证,该客户端网站已被授予访问该用户帐户的权限,该网站提供访问权限(将令牌或其他内容传递给另一个客户端)。那可能吗?我是否需要让用户单独授权?我可以将刷新令牌传递给applet吗?
答案 0 :(得分:1)
从OAuth舞蹈返回的访问令牌有时被称为“持票人令牌”,这掩盖了这样一个事实,即拥有它的任何人或任何人被认为是经过身份验证并被授权访问资源。例如,您可以使用JavaScript流获取访问令牌,并将其传递给服务器以发出请求。或相反亦然。访问令牌是访问权限。因此,通过这种方式,访问是可移植的。但访问令牌通常会在一段时间后过期。
另一方面,刷新令牌不会过期,但通常与回调URL相关联。为访问令牌交换刷新令牌通常需要将回调请求发送到列入白名单的URL集。因此,您通常无法有效地传递刷新令牌。 (注意:这并不意味着你不应该小心它,它本质上仍然是一个范围密码,你肯定想要保持私密)。