我按照server and client side OAuth 2.0的说明进行操作。 我有一些问题:
为什么在服务器端需要交换访问令牌的授权码" (从上面的链接点7)?为什么在第6点.OAuth服务器(Facebook)无法发送令牌而不是授权码?
根据此描述,客户端看起来更简单。 为什么这样我们不需要交换访问令牌的授权码"并立即获得令牌?
您何时会选择客户端和服务器端?
答案 0 :(得分:0)
一个。因为反向通道允许服务器进行身份验证 在交换代码时,它本身就可以了,它允许更多 安全/可信/锁定设置
湾因为最好不要暴露令牌客户端if
他们只会被用在服务器端; code非常短暂
和一次性使用,而不是access_token
℃。因为它允许服务器进行身份验证,所以服务器端更安全 但如果您只有一个客户(单页应用程序),您唯一的选择是 直接在客户端传递令牌;如果没有可能的认证,也是如此 在反向信道上,从安全角度看,两种选择都是相同的; 在这种情况下,客户端流程的唯一优势是它更直接