OAuth 2.0: qual è il vantaggio del flusso di concessione authorization_code sul flusso di concessione implicito?

2

Non sono in grado di apprezzare quale sia il vantaggio di avere un codice di autorizzazione dato al client e quindi di scambiarlo per il token di accesso sul lato webapp. Invece, perché non dare semplicemente access_token al client e chiedere al cliente di trasmettere queste informazioni alla webapp per accedere alle risorse sicure. Questo è ciò che accade comunque nella concessione implicita.

    
posta Gopal 30.05.2017 - 21:03
fonte

1 risposta

2

Certo, puoi farlo, e in effetti è un flusso supportato come hai detto. Tuttavia, il punto del codice è impedire al client stesso di accedere al token. Ciò impedisce il furto o la fuoriuscita del token perché è limitato agli interni della stessa app web, invece di essere condiviso con chi ha bisogno di utilizzare il servizio.

Ricorda che i flussi si applicano a diversi scenari.

I flussi impliciti vengono utilizzati quando è necessario accedere al token, ma non fidarsi / non fidarsi del client come un'app eseguita localmente sul computer dell'utente - un utente malintenzionato potrebbe facilmente impersonare il client.

I flussi di codice vengono utilizzati quando puoi fidarti e verificare il client perché, ad esempio, è ospitato su una macchina remota a cui non hai accesso.

    
risposta data 31.05.2017 - 15:49
fonte

Leggi altre domande sui tag