Oauth1.0 和 2.0中都要先获取request token再去获取access token。为什么不能直接返回access token呢。拿Oauth2.0来说,
1、先把用户引导至登陆授权页面,(夹带参数client_id,redirect_uri,scope,response_typ=code)
2、用户授权后返回到回调url,并把request token作为参数返回
3、通过request token(客户端secret key以及其他参数)去获取access token
4...
...
为什么不能在第二步直接返回access token呢,是出于什么考量。
1、先把用户引导至登陆授权页面,(夹带参数client_id,redirect_uri,scope,response_typ=code)
2、用户授权后返回到回调url,并把request token作为参数返回
3、通过request token(客户端secret key以及其他参数)去获取access token
4...
...
为什么不能在第二步直接返回access token呢,是出于什么考量。
————————————————————————————————
基于CSDN论坛提供的插件扩展功能,自己做了个签名档工具,分享给大家,欢迎技术交流 :)
讲的不错
————————————————————————————————
基于CSDN论坛提供的插件扩展功能,自己做了个签名档工具,分享给大家,欢迎技术交流 :)
你说的理由我也有考虑过。但是这里回调url必须是客户端在服务提供方注册的时候填写的域名或是其根域名下的url,否则引导过去的时候会提示出错的。当我们引导用户到登陆页面的时候,该页面会先对传递过来的参数进行判断以及保存然后显示登陆页面,如果我们在第一步也把secret key传递过去的话,就算别人知道了我的参数好了,我也想不出可以拿来做什么坏事,因为回调url是有限制的。
————————————————————————————————
基于CSDN论坛提供的插件扩展功能,自己做了个签名档工具,分享给大家,欢迎技术交流 :)