在 OAuth 2 中，当有授权码时，为什么需要访问令牌？

Question

在 OAuth 2 中，客户端应用交换访问令牌的授权代码。使用访问令牌，应用程序可以进行 API 调用。但是，我真的不明白为什么 OAuth 2 有这一步。这似乎是一个额外的步骤。

我能想到的一个原因是授权码是通过客户端的重定向调用给出的，所以它有可能被泄露，因此它是短暂的；而访问令牌是服务器到服务器的。

确实如此，但还有应用程序发送的秘密 API 密钥。那为什么授权码不能一样呢？

假设没有访问令牌，只有授权码。那么即使有人获得了授权码，如果 OAuth 服务器也检查了密钥和授权码，他们将无法做任何事情。

它应该允许 OAuth 服务器：

1. 确保请求是由正确的应用发出的（经过身份验证）
2. 确定授予了哪些类型的权限（授权）

Answer 1

在 JavaScript 客户端或在浏览器中运行的 Web 应用程序的情况下，需要能够直接获取 access_token（隐式授权类型）。因为，根据可用于保存客户端密码的选项，这些客户端并不安全。需要客户端 ID 和密钥来交换 access_token 的授权代码。

这两种授权类型的存在是为了在实施身份验证时提供各种级别的安全性。

如果 API 服务的资源非常敏感，那么您最多需要安全性，这是由授权代码流提供的。在此授权类型中，您在授予对资源的访问权限之前验证客户端（服务器端 API 或移动客户端）和资源所有者（用户）。 access_token 甚至不会暴露给浏览器/用户（因为被盗的令牌可以访问资源），因此提供了高度的安全性。此流程很复杂，涉及到授权服务器的更多往返行程，但提供了更高的安全性。

如果您不需要资源上的那种安全性，您可以使用浏览器/用户可以访问令牌的隐式授权类型。此流程很简单，只需访问授权服务器一次。它不会验证客户端。无需在浏览器中保存客户端密码。

希望这是有道理的。如果您有任何问题，请告诉我。

谢谢你， 索玛。