标签: oauth oauth-2.0
我是OAuth的新手,想知道为什么需要授权码?
为什么授权不会在回调响应中发送访问令牌或刷新令牌。
为什么不直接访问令牌?
答案 0 :(得分:2)
授权代码授权使用短期一次性code,以便可以在更安全的反向信道呼叫中交换真实令牌(更长寿命和多次使用)。可以利用凭据对授权服务器进行客户端身份验证。
code
隐式授权类型直接在授权响应中返回访问令牌。它被认为更不安全,因为它更容易攻击(使用精心制作的重定向等),因为没有办法保密客户端凭证。