Oauth 2.0 OAuth 2客户端访问和授权代码

我正在阅读OAuth2协议，该协议使用web上的不同链接及其rfc（RFC6749）。浏览完这些链接后，我有以下疑问：

授权服务器是否需要在生成授权代码并将其传递给客户端后在其末尾维护授权代码

有一种情况是，两个不同的客户端尝试从授权服务器获取令牌：第一个客户端在资源所有者登录并批准访问后获取令牌。然后第二个客户端（与第一个客户端完全不同）尝试获取令牌

a） 是否应该重定向第二个客户端和资源所有者 应要求再次登录，或者授权服务器是否已 以这样一种方式实现：它检测到资源所有者 提前登录，不会要求资源提供用户名和密码
主人

b） 如果上述问题的答案是肯定的，我们如何处理上述问题 情景

授权服务器必须保持与

code

a.o.相关联的状态。访问它的客户端标识符、客户端使用的重定向URI和发布时间戳。这通常意味着授权服务器必须维护

代码

，作为对存储在后端的状态的引用。避免这种情况的一种方法是将所有信息编码到

代码中并对其进行加密

授权服务器可以选择维护登录会话，或者依赖外部SSO服务器来实现这一点，以便用户无需再次进行身份验证。但它必须请求用户同意为第一个和第二个客户端向特定客户端颁发令牌。所以：身份验证可以是隐式的（SSO），同意必须是显式的（因为它涉及不同的客户端）

第1页）。我认为rfc区别于代码和令牌。生成授权代码是一项一次性活动，对w.r.t安全性非常有用。因此，服务器应该维护的是代码还是令牌？第2页）。我能否得出结论，对于给定的资源所有者，不同的客户端将有不同的令牌？1）

code

和

access\u令牌

都受到我在1中给出的推理的影响。2） 对于给定的资源所有者，不同的客户端将确实具有不同的访问令牌；令牌是“限定范围”的，因此它们只针对特定的客户机发出