除重定向URL的概念外,OAuth2的所有其他步骤对我都很清楚。
我正在通过邮递员查询API端点(Bitbucket)。向Bitbucket注册应用程序时,它会要求我提供重定向端点。我对此感到困惑了一段时间,然后尝试了一个随机网址-https://random-appxxxx.com/
在邮递员中,如果我正确输入了所有信息(客户端ID,秘密,访问令牌URL等)以及该随机URL,那么它会完美运行,我不确定为什么会这样。如果我理解正确,则在授权客户端应用程序后,将重定向到用户的重定向URL(即回调URL)。
因此,由于授权服务器将代码发送到无效的URL,因此邮递员如何从重定向的URL-https://random-appxxxx.com/?code= {随机字符串}中读取代码?
答案 0 :(得分:1)
对于Auth 2.0代码流,您需要先创建Authorization Request,然后再创建Access Token Request。
邮递员充当浏览器,来自服务器的授权请求之后的重定向响应与访问令牌请求之后的发布请求的响应相同。
邮递员会调用您定义的Auth URL,并期望重定向到callbackURL?code=auth_code的响应。
然后使用RFC6749
auth_code调用访问令牌URL。
Postman不需要调用重定向URL,因为他完成了握手而不是您的服务器。