oauth认证的问题

椰子船长 发布于 2017/02/28 22:58
阅读 295
收藏 1

为什么要通过code再去获取access_token,获得code代表用户已经同意授权了,为什么要多此一举,再获得access_token?

加载中
0
畅想的杨海天
畅想的杨海天

这个是涉及到安全问题了,code在返回给redirect_uri的时候先给一个code,code用一次就失效了,一个code只能获取一次access_token,这时候access_token才是登录凭证,而access_token对应还会给一个refush_token这个是刷新用的,如果access_token被别人知道了,也可以立即刷新,让别人的用不了,而access_token也是有时效的,一旦失效就要重新refush_token刷新获取,refush_token也是一次性,重新获取会有一个新的refush_token,这个阶段,没有code的事,code只有输入用户名密码才能获取的第一次凭证,当你长久未使用,refush_token也过期的时候,才会重新密码登录

 

具体过程  帐号密码 ->code->access_token+refush_token -> access_token+refush_token ->过期重新登录->code

返回顶部
顶部