根据IETF的OAuth 2.0文档RFC 6749,暗示最好不要将授权服务器发出的令牌暴露给资源所有者:
授权码提供了一些重要的安全优势, 例如验证客户端的能力,以及 无需将访问令牌直接传输到客户端 将其传递给资源所有者的用户代理并且可能 将其暴露给其他人,包括资源所有者。
你知道这个的原因吗?
答案 0 :(得分:0)
它强调访问令牌是必须保密的凭证,仅可用于:
资源所有者甚至不需要访问这些凭据;授权代码中最重要的部分当然是降低了暴露给他人的风险,但是,明确提到资源所有者需要明确说明访问令牌的目标接收者是客户端应用程序。