朋友們,在授權代碼流程中,它指出在 /authorize 呼叫啟動并成功后,授權代碼將通過 HTTP 302 “重定向” URL 發送到客戶端(例如 ReactJS webapp)。為什么 OAuth 規范要求在重定向中發送此授權代碼,以便在公開的 URL 引數中發送授權代碼。我知道建議使用 PKCE 來處理此身份驗證代碼泄漏問題,但我的問題是為什么 OAuth 規范要求我們首先在 URL 引數中的 302 重定向中發送身份驗證代碼。為什么客戶端(ReactJS webapp)不能向 IDP 發出簡單的 GET 請求,為什么 IDP 不能將回應正文中的身份驗證代碼發送回 React JS 應用程式(例如通過 xmlhttprequest)。任何幫助表示贊賞。謝謝。
uj5u.com熱心網友回復:
如果您使用像 Google 這樣的 OAuth2 服務或其他一些服務,并且您的 react 應用程式將能夠處理整個流程,這意味著它可以完全代表用戶行事。
通過要求重定向,這意味著用戶自己的瀏覽器將訪問身份驗證服務的網站,這是用戶可以信任的唯一地方,可以安全地輸入他們的密碼并授予對您的應用程式的訪問權限。
地址欄中的 URL 表示信任。用戶受過培訓,永遠不要在他們不認識的網站上輸入密碼。
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/520700.html
上一篇:Django用戶模型覆寫
下一篇:如何驗證MS圖形請求?