注意: 隐式许可是不安全的, 如果你的资源比较敏感就不适合这种授权方式
想象一下, 现在有个第三方应用没有服务端, 只有一个网页, 它希望获取一些用户的信息进行使用,
这种情况下, 这个第三方应用没有任何数据可以隐藏, 那就适合使用隐式许可流程
1. 流程图
2. 流程简介
2.1 第一步
用户访问第三方应用, 第三方应用构造一个 AuthServer的链接给用户, 用户直接跳转AuthServer申请ACCESS_TOKEN
GET /oauth/authorize?grant_type=token&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read HTTP/1.1Host: authserver.com
用户进行授权, AuthServer返回地址 302跳转
HTTP/1.1 302 FoundLocation: http://CALLBACK_URL?access_token=2YotnFZFEjr1zCsicMWpAA&state=xyz&token_type=example&expires_in=3600
2.3 第三步
第三方应用, 使用返回的ACCESS_TOKEN访问受保护的资源
3. 注意
再次强调
这种授权方式是不安全的!!!
请注意 如果是敏感信息, 不要使用这种授权方式
若有收获,就点个赞吧
0 人点赞
