Oauth 2.0 资源所有者如何授予客户端而不提供其信息?
当我阅读时,有一幅图像显示了这个过程: 我不理解步骤的功能,它可以避免将资源所有者的信息提供给客户端: 客户机向资源所有者请求授权步骤A,资源所有者为客户机步骤B授予授权Oauth 2.0 资源所有者如何授予客户端而不提供其信息?,oauth-2.0,Oauth 2.0,当我阅读时,有一幅图像显示了这个过程: 我不理解步骤的功能,它可以避免将资源所有者的信息提供给客户端: 客户机向资源所有者请求授权步骤A,资源所有者为客户机步骤B授予授权 步骤A和步骤B如何避免将资源所有者的信息提供给客户端?当客户端访问资源所有者的凭据时,资源所有者密码授予计数。如果您不能使用其他流(例如,当后端本身需要令牌时),则此授权的目标是存在。正如政府所说: 仅当存在高风险时才应使用凭据 资源所有者和客户之间的信任度,例如 客户端是设备操作系统的一部分或高度特权 应用程序,以及其他授权
步骤A和步骤B如何避免将资源所有者的信息提供给客户端?当客户端访问资源所有者的凭据时,资源所有者密码授予计数。如果您不能使用其他流(例如,当后端本身需要令牌时),则此授权的目标是存在。正如政府所说: 仅当存在高风险时才应使用凭据 资源所有者和客户之间的信任度,例如 客户端是设备操作系统的一部分或高度特权 应用程序,以及其他授权授予类型不可用时 可用,例如授权代码 如果您不希望客户端获得凭据,请使用其他一些流,例如隐式或授权码授予