在oAuth 2中,如果我在客户端使用"隐式" grant,我可以在服务器端使用此令牌(就像我使用&#34获得此令牌;授权代码" grant)?
我有一个网站,显示来自某些网站(google drive,dropbox,instagram)的文件列表。此网站在客户端获取访问令牌,如here(使用隐式授权)。它工作正常。但现在我想在服务器端做一些请求。我可以使用旧令牌,或者我应该使用"授权码"授予?
答案 0 :(得分:0)
我认为您可以使用旧令牌,但不应该。 一些注意事项:应使用服务器到服务器身份验证客户端凭据授权流程。服务器甚至无法从隐式授权上的#URL片段中提取访问令牌,因为它正在重定向它(302)。请注意,隐式授权没有刷新令牌,但客户端凭据具有此功能,因此可以通过客户端凭据授予流来刷新访问令牌。如果您将访问令牌提供给其他人(在这种情况下为服务器)以使用它,则将您的用户名和密码提供给某人是同样的事情。