なぜAuth0検証が短すぎるのですか？

Question

WebアプリケーションのユーザーログインにAuth0を組み込もうとしています。しかし、私はいつも「無効な認証コードフォーマット」を取得しています。

Auth0Lockによって提供される確認コードはRRvIpXXXXXcpbWnwで、直接GETによって返されたものはwww.facebook.com/dialog/oauthになりました。

質問：Auth0では、認証コードを使用してaccess_tokenを交換する必要があります。サーバ側/（信頼できるクライアント）を使用してアプリケーションまたは信頼できない、またはSPAあなたが使用することを流れているかを決定することができます - あなたが持っているクライアントの種類に応じてhttps://auth0.com/docs/protocols

-

Answer 1

は見てみましょう。

認可コード許可フローの使用を選択した場合。 access_tokenとid_token（スコープが指定されている場合）を取得するために、コードとclientidやsecretなどの他の情報を使用してサーバー側のコードからoauth/tokenエンドポイントに送信してください。下記参照：

POST https://tenant.auth0.com/oauth/token

コンテンツタイプ：application/x-www-form-urlencodedで

CLIENT_ID = CLIENT_ID & REDIRECT_URI = REDIRECT_URI & client_secret = CLIENT_SECRET &コード= AUTHORIZATION_CODE & grant_type = authorization_code & scope = openid ...

レスポンスから、id_tokenを使用して保護APIを呼び出し、access_tokenを使用してauth0 APIをgプロファイルデータなど

暗黙のフローを使用している場合は、認証エンドポイントへの1回の呼び出しでaccess_tokenとid_token（jwt）を取得できます。

クライアントは暗黙のフローで決して検証されません。