【发布时间】:2017-05-02 23:40:12
【问题描述】:
来自1.3.1部分:
授权码提供了一些重要的安全优势,
例如验证客户端的能力,以及
将访问令牌直接传输给客户端,而无需
通过资源所有者的用户代理传递它,并可能
将其暴露给其他人,包括资源所有者。
既然授权码允许验证客户端(作为额外的安全措施),为什么不叫它验证码?
【问题讨论】:
标签: oauth-2.0
【发布时间】:2017-05-02 23:40:12
【问题描述】:
它主要被称为授权码,因为 OAuth 2.0 是关于授权而不是关于(用户)身份验证。
它实际上并没有在传统的“静态”或“预先建立”的意义上对客户端进行身份验证。它只是确保请求令牌的客户端与发送授权响应的客户端相同。
事实上,有一组单独的客户端身份验证选项可用于在经典意义上对客户端进行实际身份验证到令牌端点。
【讨论】:
-
出于某种原因,我错过了到达 Eureka 的最后一部分!片刻。我只是不明白为什么它不被视为身份验证。当客户端/应用程序获得令牌时,用户必须进行身份验证,否则将无法获得它。因此,具有令牌的客户端/应用程序确实与身份验证过程相关 - 这就是我的困惑所在。为什么它只是一个授权框架,而用户显然必须对自己进行身份验证?
-
用户如何进行身份验证超出了 OAuth 2.0 的范围;代码不代表身份验证的行为,而是访问委托的行为(即允许客户端获取访问令牌),因此用户通过代码真正授权客户端代表他进行操作