获取授权码的典型请求是:
https://authorization-server.com/auth?response_type=code&client_id=2935291598237423985&redirect_uri=https%3A%2F%2Fexample-app.com%2Fcallback&scope=create+delete&state=xcoiv98y2kd22vusuye3kch
该请求中没有用户身份信息。授权服务器(例如Google)如何知道需要哪个用户的权限才能向应用程序发出授权码(例如堆栈溢出)?
代码流基于重定向。 IdP 将要求最终用户登录(或自动登录最终用户)。登录 IdP 的用户是依赖方将获得的主题。
请参阅 OAuth 2.0 RFC