【发布时间】:2022-01-16 22:59:29
【问题描述】:
我正在学习 OAuth 2.0。
在 OAuth 2.0 中,术语“授权类型”是指应用程序获取访问令牌的方式。
在隐式流程中,授权服务器会将浏览器重定向回应用程序指定的redirect_uri,并在 URL 的片段部分添加令牌和状态。所以我认为最终用户的网络浏览器将获得 access_token 值。
但是在代码流中,Auth 服务器似乎会向我的 Web 浏览器提供一个临时代码,然后我的 Web 浏览器会向应用程序发送附有此代码的 http 请求。然后应用程序调用 Auth 服务器的 /oauth/token 端点以将该临时代码与访问令牌交换,因此它最终从 auth 服务器获取访问令牌。
那么故事就这样结束了吗?
应用程序是否更进一步将访问令牌提供给我的网络浏览器?
我一直认为,为了能够与应用程序交互(在我使用应用程序时向它发送越来越多的 HTTP 请求),每个 http 请求都会附加一个访问令牌,因此请求是有效命中应用程序的端点。
但在代码流中,我作为最终用户,在完成 OAuth 代码流并开始与应用程序交互后,似乎在我的浏览器中没有访问令牌?
应用程序如何知道我确实是那时的我?
【问题讨论】:
标签: oauth-2.0 oauth access-token