我正在OAuth2客户端上处理隐式流,并正在实现基于IFrame的刷新(因为隐式流中没有刷新令牌)。
我遇到的问题是试图找出将访问令牌传递回服务器的“标准”。我是通过access_token查询字符串参数传递回来的,还是在设置IFrame源时必须设置某种方式的Authorization标头(似乎有点困难)?
答案 0 :(得分:0)
这是告诉我的...在用户对初始授权请求进行身份验证之后,授权服务器存储一个cookie(在其自己的域下)。 Cookie阻止了对来自隐藏IFrame的后续调用的重新验证,因此无需从客户端传递任何内容作为查询字符串参数,标头等。