为 OAuth2 生成授权码的规范是什么？

Question

我正在编写一个 OAuth2 提供程序，我正在尝试根据此处的规范生成授权代码。

https://datatracker.ietf.org/doc/html/rfc6749#section-4.1.2

代码 必需的。生成的授权码 授权服务器。授权码必须过期 发布后不久，以减轻泄漏的风险。一种 10 分钟的最大授权代码生命周期是 推荐的。客户端不得使用授权码

Hardt 标准跟踪 [页面 26]

RFC 6749 OAuth 2.0 十月 2012

     more than once.  If an authorization code is used more than
     once, the authorization server MUST deny the request and SHOULD
     revoke (when possible) all tokens previously issued based on
     that authorization code.  The authorization code is bound to
     the client identifier and redirection URI.

但是我应该使用什么编码或解码协议呢？提供者是否可以免费决定？

Answer 1

规范没有说明授权代码的编码，因此由开发人员决定。然而，这只是一个代码；它不包含您应该编码的数据。客户端应用程序按原样使用此代码，因此无需对其进行处理（例如解码）。