Fatal编程技术网
  • oauth-2.0/
  • Oauth 2.0 OAuth隐式授权流:安全含义和在URL片段中将访问令牌传递给应用程序的替代方案

Oauth 2.0 OAuth隐式授权流:安全含义和在URL片段中将访问令牌传递给应用程序的替代方案

oauth-2.0 oauth

Oauth 2.0 OAuth隐式授权流:安全含义和在URL片段中将访问令牌传递给应用程序的替代方案,oauth-2.0,oauth,Oauth 2.0,Oauth,我一直在查看隐式授权流,在一些应用程序中,访问令牌使用URL片段传递回应用程序(请参阅以下Okta文档:) 我对以下几点感到好奇: 像这样将访问令牌传递回应用程序有什么安全含义 是否有其他方法可以安全地将访问令牌传递回应用程序 直接从授权端点返回访问令牌的流已弃用,新应用程序不应使用这些流。它们没有新发现的问题,只是为了解决一个不再是问题的问题(跨站点请求,CORS,自2010年以来已经走过了很长的一段路) OAuth 2隐式流以及密码授予类型都被和弃用 看 使用代码流或OIDC混合流,或使用f

我一直在查看隐式授权流,在一些应用程序中,访问令牌使用URL片段传递回应用程序(请参阅以下Okta文档:)

我对以下几点感到好奇:

  • 像这样将访问令牌传递回应用程序有什么安全含义
  • 是否有其他方法可以安全地将访问令牌传递回应用程序
    • 直接从授权端点返回访问令牌的流已弃用,新应用程序不应使用这些流。它们没有新发现的问题,只是为了解决一个不再是问题的问题(跨站点请求,CORS,自2010年以来已经走过了很长的一段路)

    OAuth 2隐式流以及密码授予类型都被和弃用

  • 使用代码流或OIDC混合流,或使用form_post响应模式