来自1.3.1部分:
授权码提供了一些重要的安全性好处,
例如验证客户端的能力,以及 将访问令牌直接传输到客户端而无需 将它传递给资源所有者的用户代理并且可能是 将其暴露给其他人,包括资源所有者。
由于授权代码允许对客户端进行身份验证(作为额外的安全措施),为什么不将其称为身份验证代码?< / p>
答案 0 :(得分:0)
它主要称为授权代码,因为OAuth 2.0是关于授权而不是关于(用户)身份验证。
它实际上并不以传统的“静态”或“预先建立”的方式验证客户端。它只是确保请求令牌的客户端与授权响应发送到的客户端相同。
实际上,有一组独立的客户端身份验证选项可用于实际验证客户端到传统意义上的令牌端点。