标签: oauth oauth-2.0 single-sign-on openid
我有客户端应用程序和提供程序应用程序。
我正在使用授权类型授权代码。获得访问令牌后,我要求提供用户信息,但只有:
1. username 2. email 3. address
是否也可以获取用户密码?它安全吗?
答案 0 :(得分:0)
没有,这是不可能的,对用户而言难以置信不安全。
想象一下,如果使用Facebook或Google登录随机网站,则会向他们提供完整的凭据。这会使每个人的帐户受到损害,并且基本上会破坏OAUTH的目的。