码迷,mamicode.com
首页 > 其他好文 > 详细

Oauth2.0(五):Authorization Code 授权

时间:2015-05-23 16:45:28      阅读:212      评论:0      收藏:0      [点我收藏+]

标签:

  Authorization Code 方式适用于有自己的服务器的应用。之所以叫这个名字,是因为流程中引入了一个叫做 authorization code 的东西。这个东西是一个一次性的临时凭证,用来换取 access token 和 refresh token。

  鉴权服务器提供了一个类似这样的接口:

  https://www.xxx.com/exchange?code=&client_id=&client_secret=

  需要传入 code、client_id 以及 client_secret。验证通过后,返回 access token 和 refresh token。一旦换取成功,code 立即作废,不能再使用第二次。

  为什么要引入一个一次性的 code?

  先看流程图:

技术分享

  这个 code 的作用是保护 token 的安全性。上一节说到,Implicit 方式下,token 是不安全的。这是因为在 4 这一步当中直接把 token 返回给应用。而这一步容易被拦截、窃听。引入了 code 之后,即使攻击者能够窃取到 code,但是由于他无法获得应用保存在服务器的 client_secret,因此也无法通过 code 换取 token。而 5 这一步,为什么不容易被拦截、窃听呢?这是因为,首先,这是一个从服务器到服务器的访问,黑客比较难捕捉到;其次,这个请求通常要求是 https 的实现。即使能窃听到数据包也无法解析出内容。

  有了这个 code,token 的安全性大大提高。因此,Oauth2.0 鼓励使用这种方式进行授权,而 Implicit 方式则是在不得已情况下才会使用。

Oauth2.0(五):Authorization Code 授权

标签:

原文地址:http://www.cnblogs.com/blowing00/p/4524412.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!