OpenID Connect授权代码流如何工作?我们假设用户向app.example.com发出请求,但没有访问令牌或者访问令牌无效。当应用程序将用户重定向到授权服务器时:auth.example.com/authorize?response_type=code&client_id=CLIENT_ID&scope=openid&state=STATE&nonce=NONCE
上面的端点是否有登录屏幕?或者是否在单独的端点(例如auth.example.com/signin)中发生了什么?
答案 0 :(得分:1)
当应用程序将用户代理重定向到授权服务器时,身份验证服务器应该对用户进行身份验证。它可以通过直接呈现登录屏幕或通过推迟到单独的认证机制和/或服务器和/或屏幕来实现。 OAuth没有规定用户的身份验证,只是特定于Authorization Server实现的内容。两种选择都是可能的。