欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

[Oauth] OAuth 2.1废弃隐式验证方式

程序员文章站 2022-07-10 21:23:00
oauth2.0中的隐式模式是下面这样的 , 直接通过前端页面访问授权服务获取token , 授权服务直接重定向回去 , 在浏览器//域名/回调url#access_token 把token以url哈希的形式 , 在#后面带回去了 这种方式非常不安全 , token容易泄露 一般的流程是在申请应用的 ......

oauth2.0中的隐式模式是下面这样的 , 直接通过前端页面访问授权服务获取token , 授权服务直接重定向回去 , 在浏览器//域名/回调url#access_token

把token以url哈希的形式 , 在#后面带回去了 

 

这种方式非常不安全 , token容易泄露 

一般的流程是在申请应用的地方 , 会自动生成client_id  ,  并且让填一个回调地址 , 那这俩参数来获取token

 

1. 获取code

https://b.com/oauth/authorize?
response_type=token&
client_id=client_id&
redirect_uri=callback_url&
scope=read

比如qq的第三方登陆 , 就可以以这种方式 ,直接在自己页面上放个这个链接 , 就可以调到qq授权页 , 授权成功的会跳回自己的网站 , 在回调地址后面带着token