标签: http oauth oauth-2.0 authorization oauth2
授权代码授权是OAuth2中的四种授权授权类型之一。在隐式授权中,授权令牌直接作为响应发回,但在授权代码授权中,代码将作为响应发回,然后将用于从授权服务器检索令牌。
我的问题是,为什么授权代码是授权代码授予所必需的,而不是像隐式授权中那样直接发送回令牌?
答案 0 :(得分:2)
使用授权代码授权,令牌的授权代码的交换发生在服务器端(即不直接在浏览器中)。这样,客户机密钥和令牌可以更加“安全”地保存在服务器上。阅读here关于隐式流程的“简化”以牺牲一些安全隐患为代价