Pourquoi le flux d'autorisation d'autorisation ignore-t-il le code d'autorisation, il suffit de retourner un jeton d'accès?

Question

Je suis l'apprentissage de O Auth 2 de here

Je me demandais à l'étape de « serveur d'autorisation réoriente agent utilisateur au client avec le code d'autorisation », pourquoi ne pas le serveur juste donner le jeton d'accès à la place? Pourquoi donner un code d'autorisation qui est ensuite utilisé pour obtenir le jeton d'accès? Pourquoi ne pas donner le jeton d'accès directement? Est-ce parce qu'il y a un jeton d'accès différent pour chaque ressource, de sorte que vous devez passer à nouveau par O Auth pour accéder à une ressource différente?

Answer 1

Le code de subvention d'autorisation peut passer à travers des environnements non sécurisés ou potentiellement dangereux tels qu'une connexion HTTP de base (pas HTTPS) ou un navigateur. Mais ça ne vaut rien sans un secret client. Le client peut être une application backend. Si le serveur OAuth2 renvoyait un jeton, il pourrait être compromis.

Il existe un autre flux OAuth2 - le Implicit flow, qui renvoie un jeton d'accès juste après l'authentification, mais il est conçu principalement pour les applications JavaScript ou d'autres déploiements où il est sûr de l'utiliser.