首页新闻找找看学习计划

关于OAuth认证 授权码模式 的一点疑问。

0
[待解决问题]

步骤如下。

(A)用户访问客户端,后者将前者导向认证服务器。

(B)用户选择是否给予客户端授权。

(C)假设用户给予授权,认证服务器将用户导向客户端事先指定的"重定向URI"(redirection URI),同时附上一个授权码。

(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的,对用户不可见。

(E)认证服务器核对了授权码和重定向URI,确认无误后,向客户端发送访问令牌(access token)和更新令牌(refresh token)。

这里想请问,为什么要先拿授权码。然后在验证授权码后在拿token。为什么不直接在用户授权后直接拿token。这里不是很明白忘大侠指点。

yzy的主页 yzy | 菜鸟二级 | 园豆:309
提问于:2015-12-09 11:27
< >
分享
所有回答(2)
0

因为要验证服务  oauth是 认证服务器  服务  用户 3个参与者,1个服务向1个用户请求认证服务器的权限,这时认证服务器至少要2个参数  服务标识和用户标识

吴瑞祥 | 园豆:28731 (高人七级) | 2015-12-09 13:09
0

因为直接给token,那么客户端的 secret与client_id 将不会参与。就是说服务器没有认证的客户端也可以获得token

一对萝卜 | 园豆:11 (初学一级) | 2019-10-21 19:17
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册