gpt4 book ai didi

authentication - oauth 隐式授权与授权代码授权?

转载 作者:行者123 更新时间:2023-12-03 16:24:42 24 4
gpt4 key购买 nike

我想更好地理解隐式授权流程和授权代码授权流程之间的区别,因为我不确定我目前的理解是否正确。

  • 前端应用程序主要使用隐式授权流程来验证用户身份吗?
  • 隐式授权流程是否只需要 client_id、用户名和密码来进行身份验证,换句话说,client_secret 永远不会发送?
  • 授权码只是一个短暂的 token 吗?
  • 授权码交换访问 token 后,客户端可以访问用户帐户多长时间?具体来说,如果客户端是长时间运行的脚本,用户每次运行脚本时都需要进行身份验证吗?或者我们是否可以假设在用户授权后,客户端有权在需要时访问用户(除非用户撤销访问),因此它只需要使用客户端凭据进行身份验证?
  • 使用授权代码流与隐式流相比有什么优势?
  • 它自己的资源服务器是否需要客户端 ID?

  • 谢谢

    最佳答案

    The OAuth 2.0 Authorization Framework (RFC 6749)暗示:

    隐式流仅适用于基于浏览器或 JavaScript 的 OAuth 客户端应用程序 不是 可以使用授权代码授权的移动设备或其他应用程序

    隐式授权类型用于获取访问 token (它不
    支持发行刷新 token )并针对公众进行了优化
    已知操作特定重定向 URI 的客户端。

    有关使用隐式授权的背景信息,请参阅第 1.3.2 节和第 9 节。
    有关重要的安全注意事项,请参阅第 10.3 和 10.16 节
    使用隐式授权时。

    使用隐式授权类型时,访问 token 在 URI 片段中传输,这可能会将其暴露给未授权方。

    -吉姆

    关于authentication - oauth 隐式授权与授权代码授权?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50815484/

    24 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com