除了重定向URL的概念之外,OAuth2的所有其他步骤对我来说都很清楚。
我通过Postman查询API端点(Bitbucket)。在使用Bitbucket注册我的应用程序时,它会要求我提供重定向终点。我困惑了一段时间,并尝试了一个随机的URL - https://random-appxxxx.com/
在Postman中,如果我正确地输入了所有信息(客户端ID,密码,访问令牌URL等)以及随机URL,它可以完美地工作,我不确定为什么会这样。如果我理解正确,重定向URL(即回调URL)是客户端应用程序授权后用户所指向的位置。
那么,邮递员如何从重定向的URL中读取代码 - https://random-appxxxx.com/?code= {random string},因为授权服务器将代码发送到无效的URL?
对于Auth 2.0代码流程,您需要制作Authorization Request然后Access Token Request。邮递员充当浏览器,来自服务器的授权请求之后的重定向响应与访问令牌请求之后的后请求的响应相同。
邮递员调用您定义的Auth URL并期望重定向到callbackURL?code=auth_code的响应。
然后使用auth_code中描述的RFC6749调用访问令牌URL
邮递员不需要调用重定向URL,因为他完成了握手而不是服务器。