为什么在使用oauth协议时需要从客户端应用程序传递授予类型?。
-
有时,当我使用错误的授予类型时,它会说是不正确的授予类型,所以如果我只能传递支持的值,那么传递这个值是多余的。服务器可以简单地选择受支持的。客户端应用程序不应该通过它。
-
如果客户端应用程序可以传递多个授予类型,那么客户端就不能简单地传递限制最小的授予类型吗?。为什么客户应该关心什么是最合适的授权类型。客户是否必须遵守某些标准或法律问题?。
Grant类型是Oauth2规范rfc6749的一部分,用于告诉授权服务器您打算使用哪种类型的授权。每种授权类型都适用于不同的用例。
- 在web服务器上运行的应用程序、基于浏览器的应用程序和移动应用程序的授权代码
- 使用用户名和密码登录的密码(仅适用于第一方应用程序(
- 在没有用户在场的情况下访问应用程序的客户端凭据
- 隐式以前被推荐用于没有秘密的客户端,但已被使用PKCE的授权代码授予所取代
询问授权以猜测您想要使用哪种类型的授权将是一个很大的安全风险。有问题的开发人员最好直接告诉授权服务器他们试图使用哪种授权类型。通过这种方式,授权服务器可以验证您所做的操作是否正确。