在OAUTH 2.0中流动授权服务器将授权代码发送到重定向端点,然后该网页必须再次击中服务器以获取单独的访问令牌,以查询受保护的API。<<<<<<<<<<<</p>
为什么必须有两个令牌?特别是有人可以提供没有此设计的安全攻击/漏洞的示例。
有这篇文章Facebook Oauth 2.0"代码"one_answers"令牌"但这并不能真正解释设计背后的推理。
一个(授权代码)在后频道中交换,另一个(访问令牌)在后渠道中。最终目标是获得访问令牌。由于前渠道本质上是更不安全的,因此在前渠道中发送非常短的一次性临时临时凭据(即授权代码)是有意义的可用的访问令牌在后渠道中。该回流电话还将允许Web服务器(或:客户端)对授权服务器进行身份验证,以增加与正确的政党打交道的保证。