OAuth 2.0授权码 - 为什么需要将代码发送回用户?
供参考,这是关于授权代码授予类型的图像: authorization code grant type
我无法弄清楚为什么授权服务器不会简单地转到重定向网址而不是响应用户(图像中的步骤4)。授权服务器生成并向用户返回授权代码,并告知其转到重定向URL(客户端应用程序)。据我所知,在将授权代码发送到客户端应用程序之前,用户对响应没有任何作用,那么为什么用户甚至参与了这一步呢?我从根本上误解了什么吗?
提前致谢。
1 个答案:
答案 0 :(得分:1)
代码将被发送回客户端应用程序,否则客户端将如何知道用户是否已成功通过授权服务器验证或客户端如何知道用户是否已批准客户端应用程序访问其资源。客户端应用程序使用授权服务器重定向到它的授权代码,并将其与访问令牌交换。
Beginner’s Guide to OAuth – Part II : Protocol Workflow
请求令牌(授权码)仅适用于获取用户批准,而Access 令牌用于访问受保护资源,在本例中为Jane 相片。在第一个请求中,Beppa交换请求令牌(授权码) 访问令牌和第二个(可以是多个请求,一个用于 照片列表,还有一些照片,以获得每张照片)请求得到 照片。
相关问题
- oAuth2.0:为什么需要“授权代码”而只需要令牌?
- 为什么OAuth 2.0规范会阻止重复使用授权码?
- 为什么在不显示登录UI的情况下提供OAuth2授权代码?
- 为什么OAuth RFC要求再次传递redirect_uri以交换令牌代码?
- 什么OAuth授权类型应该用于不需要用户授权的HTML5 / JS应用程序?
- 为什么在authorization-grant-type中需要授权代码
- OAuth 2.0授权码 - 为什么需要将代码发送回用户?
- 为什么授权授权流程会跳过授权代码只返回访问令牌?
- 为什么授权请求在OAuth2授权代码授权流程中不需要客户端密钥?
- OAuth2:(为什么)为访问令牌交换授权码需要授权标头?
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?