我到处搜索这个问题,但是找不到明确的答案来解释我的问题。
根据rfc6750, access_token可以使用post消息的body部分发送。我想知道为什么这个文档给约束设置Content-Typeapplication/x-www-form-urlencoded。客户端在发送post访问令牌时不能使用application/json类型是否有安全原因?
现在至少99%的使用在授权头中发送访问令牌,如该文档的2.1节所示。没有人做其他事情。
请记住,文档是从2012年开始的,在那些日子里,某些客户端,例如浏览器或移动浏览器可能需要其他选项,但现在已经不是这样了。