App tauscht Autorisierungscode für Zugriffstoken aus. Und mit Access Token App kann API-Anrufe tätigen. Wie auch immer, ich verstehe nicht wirklich, warum OAuth 2 diesen Schritt hat, scheint wie ein zusätzlicher Schritt.In OAuth 2, warum gibt es ein Access Token, wenn es einen Autorisierungscode gibt?
1 Grund, den ich fand, ist, dass Autorisierungscode durch Redirectanruf auf Klientenseite gegeben wird, also hat es Potenzial, gefährdet zu werden, also ist es kurzlebig. Während Access-Token Server an Server übergeben wird.
Das stimmt, aber es gibt auch Secret Api-Schlüssel, die App sendet senden. Warum konnte das nicht mit dem Autorisierungscode getan werden?
Angenommen, es gab kein Access-Token, sondern nur Autorisierung. Wenn dann jemand den Autorisierungscode bekommt, wäre er nicht in der Lage, etwas zu tun, wenn der Oauth2-Server auch den Geheimschlüssel entlang des Autorisierungscodes überprüft.
Es sollte Oauth Server ermöglichen:
- stellen Sie sicher, wurde angefordert von App (authentifizieren)
- , welche Arten von Erlaubnis erteilt wurden (autorisieren)
Aber ** warum ** Autorisierungscode und Zugriffs-Token sind für den Server-basierten Fluss erforderlich, ich weiß, es ist für die Sicherheit, aber warum nur "Autorisierungscode" + "geheimer Schlüssel" sind ** nicht ** genug. –
Ich verstehe in Client Side nur Apps, die Sie nicht sicher "geheimer Schlüssel" speichern können. Aber auch kein "Access Token" ist dort im normalen Authentifizierungsfluss gespeichert. Ich frage mich, warum du es überhaupt erwähnt hast. –
Auch bitte bleiben Sie weg von Diskussion darüber, was ist der beste Authentifizierungsablauf für sensible Daten im Vergleich zu nicht sensiblen. Ich frage rein nach Oauth 2 Flow. –