为什么OAuth使用HTTP GET返回访问令牌?
在OAuth身份验证流中,如果服务提供商授予了权限,则授权将使用访问令牌重定向到应用程序指定的重定向URL(例如,为什么OAuth使用HTTP GET返回访问令牌?,http,oauth,rfc,Http,Oauth,Rfc,在OAuth身份验证流中,如果服务提供商授予了权限,则授权将使用访问令牌重定向到应用程序指定的重定向URL(例如,yourapp.com/redirect/?token=deadbeef) 现在,应用程序必须以某种方式存储该令牌——要么直接将其存储在数据库中,要么启动与服务提供商的会话。这是否与HTTP方法的“定律”相矛盾,特别是GET应该是只读操作?除了GET,您不能使用其他任何东西,而不应编辑、创建或删除任何内容的规则通常适用于某些数据或项目。登录是状态,这有点不同。通常情况下,注销也是很重
yourapp.com/redirect/?token=deadbeef现在,应用程序必须以某种方式存储该令牌——要么直接将其存储在数据库中,要么启动与服务提供商的会话。这是否与HTTP方法的“定律”相矛盾,特别是GET应该是只读操作?除了GET,您不能使用其他任何东西,而不应编辑、创建或删除任何内容的规则通常适用于某些数据或项目。登录是状态,这有点不同。通常情况下,注销也是很重要的GET@SamiKuhmonen大多数具有安全意识的现代web框架使用delete或post进行注销,但却无法看到一个站点没有注销链接作为GET的正常链接,但可能是YMMV的情况。除了GET in重定向和不应编辑任何内容的规则之外,您不能使用任何其他内容,通常为某些数据或项目创建或删除。登录是状态,这有点不同。通常情况下,注销也是很重要的GET@SamiKuhmonen大多数具有安全意识的现代web框架使用delete或post进行注销,但却无法看到一个站点,该站点没有与GET的正常链接一样的注销链接,但可能是YMMV的一种情况