我做春天的OAuth的深入研究,我发现了一些相互矛盾的信息。有人请澄清?
具体来说,this tutorial指出/oauth/token
端点处理授予刷新令牌的客户端应用程序之前,用户名和密码。相比之下,Spring OAuth Developer Guide提到/oauth/authorize
和/oauth/token
终点,但仍然没有得到具体的关于他们如何工作。
是否/oauth/authorize
做username/password/nOtherFactors
检查的100%,然后将信号端点/oauth/token
的刷新令牌发送到客户端,使客户端将发送更新凭证到/oauth/token
终点?
抑或是这一切由/oauth/token
端点处理?
是/oauth/authorize
之间的关系,并为/oauth/token
授予不同类型的有什么不同?怎么样?
每对的OAuth 2.0规范的授权和令牌端点有不同的用途。
授权端点是其中资源所有者(用户)登录和补助授权给客户端(例如:网络应用程序在浏览器或移动设备上运行的应用程序运行)。 (:浏览器前)将被重定向到身份验证身份服务器(授权服务器)这通常是在资源所有者的用户代理的情况下使用。资源所有者的用户代理必须将访问令牌的直接访问。
令牌端点是在客户端(例如:服务器端API或移动应用程序)调用来交换授权码,客户端ID和客户端密钥访问令牌。在这种情况下,用户代理只设置有一个授权码,没有直达的访问令牌。客户端是一个值得信赖的党能够访问来自授权服务器端编号和密码(这就是为什么我提到服务器端API作为客户端)。
请阅读有更好的解释this文章。