【发布时间】:2016-02-17 01:24:16
【问题描述】:
我有客户端应用程序和提供程序应用程序。
我正在使用授权类型的授权代码。获得访问令牌后,我正在请求用户信息,但只有:
1. username
2. email
3. address
是否也可以获取用户密码?它安全吗?
【问题讨论】:
-
token的要点是不使用密码。
标签: oauth oauth-2.0 single-sign-on openid
【发布时间】:2016-02-17 01:24:16
【问题描述】:
不,这是不可能的,而且对用户来说难以置信不安全。
想象一下,如果使用 Facebook 或 Google 登录随机网站,会向他们提供您的完整凭据。这将使每个人的帐户都受到损害,并且基本上违背了 OAUTH 的目的。
【讨论】: