供参考,这是关于授权代码授予类型的图像: authorization code grant type
我无法弄清楚为什么授权服务器不会简单地转到重定向网址而不是响应用户(图像中的步骤4)。授权服务器生成并向用户返回授权代码,并告知其转到重定向URL(客户端应用程序)。据我所知,在将授权代码发送到客户端应用程序之前,用户对响应没有任何作用,那么为什么用户甚至参与了这一步呢?我从根本上误解了什么吗?
提前致谢。
答案 0 :(得分:1)
代码将被发送回客户端应用程序,否则客户端将如何知道用户是否已成功通过授权服务器验证或客户端如何知道用户是否已批准客户端应用程序访问其资源。客户端应用程序使用授权服务器重定向到它的授权代码,并将其与访问令牌交换。
Beginner’s Guide to OAuth – Part II : Protocol Workflow
请求令牌(授权码)仅适用于获取用户批准,而Access 令牌用于访问受保护资源,在本例中为Jane 相片。在第一个请求中,Beppa交换请求令牌(授权码) 访问令牌和第二个(可以是多个请求,一个用于 照片列表,还有一些照片,以获得每张照片)请求得到 照片。