关于OAuth我的一些疑问

各位大佬好,最近在做OAuth相关的一些东西,做着做着有一些疑问,刚接触,希望各位大佬可以批评指正。问题主要围绕授权码模式和密码模式展开

授权码模式

授权码模式是客户端在访问的时候,重定向到授权服务器,进行验证登录之后,会返回一个短暂有效的code到redirect_url,于是便可以拿着这个code和secret进行验证,通过后返回access_token,这样就可以拿到token进行请求资源了

密码模式

在客户端直接输入账户密码,由客户端将账户密码发送到授权服务器进行认证,通过之后返回token

疑问

  • 密码模式的缺点是会暴露账户给客户端造成不安全
  • 同时我也疑惑为什么授权码模式一定要有一个短暂有效的code来请求token,最终token不是都会返回来吗

我的设想

客户端重定向到授权服务器,在授权服务器上进行认证之后,直接返回access_token,过程采用Http-only Cookie(防止XSS攻击)。

这样不是既简便,又安全吗。
希望大佬指教一下(我是菜鸡我是菜鸡呜呜呜,菜鸡勿骂)

相关推荐
钛态5 小时前
前端安全防线:CSRF 攻击链路与双重 Token 校验的工程实现
前端·vue·react·web
张拭心6 小时前
技术管理笔记:让我“燃尽”的一天
前端
不好听6137 小时前
BFF 架构实战:从前端直调 API 到加入中间层
前端·架构
不好听6137 小时前
前端跨域完全指南:从为什么报错到三种解决方案
前端
三8447 小时前
路由策略/控制 配置双点双向路由重发布
服务器·前端·javascript
Qimooidea8 小时前
祁木 CAD Translator 工程图纸出海实战指南
服务器·前端·安全
小林ixn8 小时前
从BFF到SSE:我在Vue项目里藏了个“AI翻译官”
前端·vue.js·vite
元气少女小圆丶9 小时前
unity发布web嵌入到前端页面的接受参数
前端·unity·webgl
工业HMI实战笔记9 小时前
【拯救HMI】:低碳制造:自动化技术如何助力企业节能降耗
运维·前端·自动化·交互·制造
不简说11 小时前
JS 代码技巧 vol.4 — 10 个异步并发控制,Promise.all 这帮兄弟的踩坑实录
前端·javascript·面试