标签: oauth-2.0 google-oauth2
我在我的react + sprint-boot应用程序中使用以下google登录流程:
1)用户单击google登录按钮,前端使用客户端ID获得授权密码(不是令牌)。
2)后端接收此代码,并使用客户端ID和客户端机密获取令牌,并通过此令牌获取用户信息。现在,后端也将此令牌返回给前端。
3)前端存储此令牌,并在后续请求中将此令牌发送给后端,而不是发送代码。
现在,我使用正确了吗?如果是,则前端可以直接获取令牌并将其发送到后端。则此流程中不需要客户端密码。那么,此流程中的客户机密有什么用?