我正在尝试自己构建OAuth 2.0服务器。 (我不想使用任何OAuth提供商)
我真的不明白我什么时候必须生成授权码。
我有我的OAuth 2.0服务器和测试服务器(具有“使用...登录”按钮)
当我单击测试服务器上的“使用我的公司名称登录”时,它会将我重定向到:
https://oauthserver.com/v1/oauth/authorize?client_id=[[id]]&scope=read&response_type=code&redirect_uri=https://testserver.com/callback (地址不是真实的,仅出于示例目的)
(我不创建弹出窗口,我使用重定向)
此刻,我的OAuth服务器检查了所有查询参数,如果一切正常,服务器将返回带有2个按钮(确认和拒绝)的html文档
当用户单击“确认”时,我应该使用授权码将用户的浏览器发送到重定向uri。 但是我已经在发送html文档的时候在什么时候生成该代码了?
我认为我应该对某些链接进行GET查询,当用户单击“确认”按钮时,并且当数据到来时,我只使用window.location.replace(下面的代码)
const url = "some url where auth code will be generated and returned";
fetch(url).then((code) => {
console.log('code: ', code);
window.location.replace('https://testserver.com/callback?code=${code}');
}).catch(e => {});
但是我已经分析了Google OAuth,他们没有进行任何提取查询来生成授权码。
那么生成和发送授权码的最佳方式(时刻)是什么?