Oauth2.0的核心机制在之前的文章中已经总结完毕。除了核心机制,Oauth2.0 还提供了几种标准的授权流程,分别适用于不同的场景。其中一种叫做 Implicit 授权,这是最简单的形式,适用于纯静态页面应用。所谓纯静态页面应用,就是应用方没有在服务器上执行代码的权限(通常是把代码托管在别人的服务器上),只有前端 Js 代码的控制权。
这种场景下,应用方是没有持久化存储的能力的。因此,按照 Oauth2.0 的规定,这种应用是拿不到 refresh token 的。其整个授权流程是这样:
这里要注意第4步:重定向到
http://www.abc.com?accesstoken=xxx
这个地址是应用方的一个前端页面,而不是一个服务端api地址。应用方在页面中使用 js 代码抓取到url中的access token,并将其保存在cookie或者local storage中。对于这种应用,access token 是容易泄露的,且不可刷新。可以看出,这其实是一种阉割版的授权流程。在实际应用当中,这种授权流程是很少见的。除非万不得已,否则不应该使用这种流程。
更多技术文章,请关注个人号:
