oauth-2.0 - 在混合流/授权中收到的两个 id/访问令牌(来自授权和令牌端点)有什么用?
问题描述
在混合流/授权中 -
response_type = code token id_token
在这种情况下,客户端收到 id_token 和 access_token 2 次:
1) 从 /authorize 端点(连同代码)
2) 从 /token 端点(交换令牌代码)
我在几个网站上读到这些令牌,收到两次,可能并不总是相同。两次收到令牌有什么用?它们是如何使用的?仅仅从授权端点获取代码并与令牌端点交换令牌是否足够(即授权代码流)?
解决方案
恐怕这不是规范的一部分被广泛理解或商定的。有人可能会争辩说,从反向渠道接收代币本质上更安全,因此与将它们放在前端渠道相比具有安全性和保证优势。我认为没有人提出过令人信服的用例,尽管在同一流程中也在前端通道中接收令牌。
推荐阅读
- karate - Creating common test data for multiple feature files
- c++ - How to have one pthread continue while another thread is waiting on a semaphore in C++?
- selenium-webdriver - org.openqa.selenium.interactions.MoveTargetOutOfBoundsException:无法点击元素
- javascript - 日期选择器未设置最大值和最小值
- ios - 如何在 UIScrollView 中分页时一次仅加载一个 ViewController
- python - 正则表达式匹配与 Python 中的回车符
- azure-cosmosdb - 如何删除 Azure Cosmos DB 视图中的列?
- python - Is there a way to quickly get rid of a lot of excess data with regex searches?
- logstash - 即使文件没有更改,也重新加载logstash配置文件
- android - 带有 EditText 的自定义 ListView 的问题