问题描述
- OAuth的accessToken是通过什么传输的
-
最近在看OAuth协议,遇到一个问题就是,书上解释为什么在Request Token URL之后没有直接返回accessToken的原因有两个,一个是可以多加一次对请求方的身份认证,第二个是因为服务器端的redirect_uri是不安全的,要传输code这种不敏感信息
我的问题是,加了code之后,服务器端的确会多加一次认证,但是认证之后,accessToken是否还是通过redirect_uri返回给请求方的……如果是,那redirect_uri还是不安全的啊,如果不是,那这个token是怎么返回去的呢?
解决方案
解决方案三:
哦哦,我好像有点明白了,返回的Access Token是在URI Fragment中返回,只有客户端代码才可以获取access_token,其不是通过redirect-uri返回的,之前发送的request携带的这个参数只是为了校验用。
时间: 2024-07-29 04:34:20