OAuth 2.0 Flow 它是如何工作的 node-oauth2-server

Question

在使用 https://github.com/thomseddon/node-oauth2-server 在 NodeJS 中实现 OAuth 服务器时

我正在尝试了解 OAuth 2.0 的流程

不知何故，我成功地实现了这个 npm 包，但我怀疑，出了点问题。

我会解释我是如何成功的。

第一个请求：

POST: http://localhost:3000/oauth/token
grant_type=password
client_id=1011
client_secret=somesecret
username=admin
password=admin

第一反应：

{
token_type: "bearer"
access_token: "7f5261011fb0f84a4e193889fff4b7478f2a4cb2"
expires_in: 3600
refresh_token: "da83de41966979ced65b3841e1758335a811c0c2"
}

获得访问令牌后，我正在发送另一个 http 调用

第二次请求：

GET http://localhost:3000/secret
Authorization: Bearer 7f5261011fb0f84a4e193889fff4b7478f2a4cb2

第二次回复：

{"data":"Secret area accessible"}

但在这里我完全感到困惑

问题 1. Authorization_code 部分缺失

问题 2。在第一次通话中，我需要发送 client_secret 和 user_password - 如果我同时发送这两者意味着 oauth 客户端正在向用户（浏览器）公开秘密，或者用户正在向 OAuth 客户端提供密码。

如果整个 OAuth 2.0 的任何请求/响应模式如下所示，请与我分享

a. browser -> oauth server POST /oauth/authorize?client_id,username,password
b. USER GRANTS PERMISSION
c. browser -> oauth server RESPONSE auth_code
d. browser -> oauth client POST auth_code
e. oauth_client -> oauth server POST auth_code
e. oauth server -> oauth_client  RESPONSE access_token
f. oauth_client  -> resource_server POST /resource?access_token (Question 3. But here how resource server validates access token is valid or not )

Answer 1

OAuth 2.0 定义了几种通过所谓的“授权”获取访问令牌的方法。您的请求表明您当前正在使用资源所有者密码凭据授权，请参阅：https://www.rfc-editor.org/rfc/rfc6749#section-1.3.3。该授权确实将用户名/密码暴露给客户端，这就是为什么它破坏了 OAuth 2.0 的大部分目的并且仅用于迁移目的，请参阅：https://www.rfc-editor.org/rfc/rfc6749#section-10.7

授权代码授权是一种单独的授权类型，通过该授权类型，用户可以通过浏览器重定向到授权端点，以便客户端远离用户身份验证过程。您似乎在 a.-f 中描述的流程中提到了这一点。由于这是一种不同的授权类型，因此您不会将“授权代码”视为资源所有者密码凭据授权的一部分。

在正确的授权码授予流程中，a。将是重定向而不是 POST，如：a. browser -> oauth server Redirect /oauth/authorize?client_id,response_type=code