In OAuth, quando l'utente autorizza il client a ricevere un codice di autorizzazione, il client lo scambia per un token che viene utilizzato per accedere alla risorsa.
Perché abbiamo bisogno di fare questo scambio extra di authzcode per il token di accesso? Non è possibile utilizzare direttamente Authzcode per ottenere una risorsa? Quale ulteriore sicurezza porta questo scambio?
Separando autzcode e il token è possibile deselezionare l'autenticazione e la gestione della sessione . I vantaggi includono la possibilità di utilizzare più servizi di autenticazione senza adattare il codice di gestione della sessione e rilevare l'uso improprio da parte di provider malintenzionati o compromessi dopo l'autenticazione dell'utente legittimo.
Per i dettagli vedi link
Il "Authzcode", più comunemente noto come "Codice di autorizzazione OAuth" è utilizzato nella procedura di concessione dell'autorizzazione . Questo specifico processo OAuth viene utilizzato quando un'applicazione deve garantire che le credenziali del proprietario di una risorsa non vengano mai condivise con il client. Questo caso d'uso specifico può entrare in gioco quando il cliente esegue codice non affidabile, come un'app che necessita di accesso privilegiato. Di seguito è riportata una citazione da RFC-6749:
The authorization code provides a few important security benefits, such as the ability to authenticate the client, as well as the transmission of the access token directly to the client without passing it through the resource owner's user-agent and potentially exposing it to others, including the resource owner.
Leggi altre domande sui tag oauth