Appはアクセストークンの認証コードを交換します。そして、アクセストークンのアプリは、API呼び出しを行うことができます。しかし、なぜOAuth 2にこのステップがあるのか分かりません。余分なステップのようです。OAuth 2では、認証コードがあるときにアクセストークンが必要なのはなぜですか?
私が見つけた理由の1つは、クライアント側でリダイレクトコールによって許可コードが与えられていることです。そのため、侵害される可能性があり、短命です。一方、アクセストークンはサーバからサーバに与えられます。
それは本当ですが、Appが送信するSecret Apiキーもあります。なぜ認証コードで同じことをすることができなかったのですか?
アクセストークンはなく、認証のみが存在するとします。次に、認証コードを取得した人でも、Oauth2サーバーが認証コードに沿って秘密鍵をチェックしても、何もできなくなります。
それはのOauthサーバーに許可する必要があります。
- は、(認可)を直接access_tokenは取得すること
しかし**なぜ**認証コードとアクセストークンがサーバーベースのフローに必要ですか?私はそれがセキュリティのためだと知っていますが、なぜ単に "認証コード" + "秘密キー" –
「秘密鍵」を安全に保管することができないアプリのみのクライアントサイドでは理解しています。しかし、どちらも通常の認証フローにそこに格納されている "アクセストークン"はありません。だから私はなぜあなたがそれを言及したのだろうと思う。 –
また、機密性の高いデータと非機密性のデータの最も良い認証フローについて議論してください。私は純粋にOauth 2の流れについて尋ねています。 –