OAuth2将授权传递给另一个客户端

在实现OAuth2协议时，是否可以将授权传递给第二个客户端，类似于CAS中的代理身份验证

---

该用户通过客户端网站进行身份验证，该网站已被授予访问该用户帐户的授权，该网站向另一个客户端提供访问权限（传递令牌或其他内容）。可能吗？我需要用户单独授权吗？我可以将刷新令牌传递给小程序吗

从OAuth舞蹈返回的访问令牌有时被称为“承载令牌”，这掩盖了这样一个事实，即拥有该令牌的任何人或任何人都被认为是经过身份验证和授权访问资源的。例如，您可以使用JavaScript流获取访问令牌，并将其传递给服务器以发出请求。反之亦然。访问令牌就是访问。因此，通过这种方式，访问是可移植的。但是访问令牌通常会在一段时间后过期

另一方面，刷新令牌不会过期，但通常与回调URL绑定。将刷新令牌交换为访问令牌通常需要将回调请求发送到白名单上的一组URL。因此，通常无法有效地传递刷新令牌。（注意：这并不意味着你不应该小心，它本质上仍然是一个有作用域的密码，你一定要保持它的私密性）