logo标签列表

OAuth:为什么隐式授权类型被称为隐式?

oauthoauth-2.0
5
有人能向我解释一下为什么OAuth 2.0的隐式流(授权类型)被称为“implicit”吗?
因为我认为这是一个相关的问题,直接涉及到OAuth 2.0作为协议的基础,所以我点赞了。 - Hans Z.
1个回答
3

规范中提到:

在隐式流程中,客户端不会获得授权码,而是直接获得访问令牌(作为资源所有者授权的结果)。授权类型是隐式的,因为没有发放任何中间凭据(如授权码)

1
我还是不明白。Implicit的意思是间接的。为什么它被称为间接,而实际上却恰恰相反? - Nikolai Koudelia
可能是因为客户端应用是通过重定向 URI 间接进行身份验证的原因。 - farasath
我认为implicit意味着客户端的身份被隐含地假定为真实的。这种授权方式存在缺陷,被认为是不安全的。我认为Authorization Code授权也涉及到一些代码,客户端和授权服务器在获取代码和令牌之前相互交换以进行身份识别。请参见https://tools.ietf.org/html/draft-ietf-oauth-security-topics-09#page-5。 - MiniMe
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接