OIDC :代码流和隐式流中的url差异
OIDC :代码流和隐式流中的url差异
提问于 2021-07-26 18:57:03
我是OIDC的新手。我指的是在我的应用程序中使用OIDC的video。
看看代码流(响应类型:代码)和隐式流(响应类型: Id_token)的网址,我注意到了一些奇怪的事情,在重定向网址中,code是作为query parameter (后面跟着?)提供的,而id_token后面是#。同样的事情也发生在我的应用程序中。为什么id_token也不能作为query parameter提供。我用谷歌搜索了一下,但没有找到任何答案。
码流url:
隐式流url:
(视频参考: 39:03,53:35)
回答 1
Stack Overflow用户
发布于 2021-07-28 02:52:26
隐式流已弃用,并将令牌直接返回给浏览器。它在(客户端)散列片段上执行此操作,web服务器不会将其包含在其日志文件中。
当单页应用程序还很新,授权服务器不支持CORS时,这曾经是解决方案。
这些天,授权代码流是标准的,我将把所有的努力集中在这一点上。在此模型中,在查询参数中返回授权代码,但是:
- 它只使用一次,因此即使包含在服务器日志中,通常也无法利用
- 它通常还需要客户端密码才能将其交换为令牌
如今,代码流也应该使用PKCE,它可以与客户端机密一起使用。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/68528631
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号