为什么在authorization-grant-type中需要授权代码

时间:2016-02-16 17:50:07

标签: oauth oauth-2.0

我是OAuth的新手,想知道为什么需要授权码?

为什么授权不会在回调响应中发送访问令牌或刷新令牌。

为什么不直接访问令牌?

1 个答案:

答案 0 :(得分:2)

授权代码授权使用短期一次性code,以便可以在更安全的反向信道呼叫中交换真实令牌(更长寿命和多次使用)。可以利用凭据对授权服务器进行客户端身份验证。

隐式授权类型直接在授权响应中返回访问令牌。它被认为更不安全,因为它更容易攻击(使用精心制作的重定向等),因为没有办法保密客户端凭证。