所以我从移动客户端对OAuth2的理解是:
auth_code auth_code兑换为access_token和refresh_token 在上文中,如果您的网络服务支持您的移动应用,则会永久存储access_token和refresh_token,这样您就可以继续访问用户&#39 ;数据,只要他们没有撤销您的权限。
所以我的问题是:auth_code是否应该发送到服务,并在那里交换令牌?或者客户端是否应该交换auth_code,并将生成的令牌发送给服务?这无关紧要,或者对于不同的实现可能有所不同?我假设客户端机密仅存储在服务上,我的理解是需要交换refresh_token新access_token,但我不确定auth_code。
答案 0 :(得分:1)
使用授权码请求令牌时也需要客户端密码。
客户可以直接请求令牌或将其委托给服务 - 没有严格的规则说你应该做其中一个。
我说如果该服务将使用令牌,可能委托给该服务最有意义 - 所以令牌留在那里。如果客户端要使用令牌,则两种方法都有效。