关于OAuth我的一些疑问

各位大佬好,最近在做OAuth相关的一些东西,做着做着有一些疑问,刚接触,希望各位大佬可以批评指正。问题主要围绕授权码模式和密码模式展开

授权码模式

授权码模式是客户端在访问的时候,重定向到授权服务器,进行验证登录之后,会返回一个短暂有效的code到redirect_url,于是便可以拿着这个code和secret进行验证,通过后返回access_token,这样就可以拿到token进行请求资源了

密码模式

在客户端直接输入账户密码,由客户端将账户密码发送到授权服务器进行认证,通过之后返回token

疑问

  • 密码模式的缺点是会暴露账户给客户端造成不安全
  • 同时我也疑惑为什么授权码模式一定要有一个短暂有效的code来请求token,最终token不是都会返回来吗

我的设想

客户端重定向到授权服务器,在授权服务器上进行认证之后,直接返回access_token,过程采用Http-only Cookie(防止XSS攻击)。

这样不是既简便,又安全吗。
希望大佬指教一下(我是菜鸡我是菜鸡呜呜呜,菜鸡勿骂)

相关推荐
中微子4 分钟前
React 状态管理 源码深度解析
前端·react.js
加减法原则1 小时前
Vue3 组合式函数:让你的代码复用如丝般顺滑
前端·vue.js
yanlele2 小时前
我用爬虫抓取了 25 年 6 月掘金热门面试文章
前端·javascript·面试
lichenyang4532 小时前
React移动端开发项目优化
前端·react.js·前端框架
你的人类朋友2 小时前
🍃Kubernetes(k8s)核心概念一览
前端·后端·自动化运维
web_Hsir2 小时前
vue3.2 前端动态分页算法
前端·算法
烛阴2 小时前
WebSocket实时通信入门到实践
前端·javascript
草巾冒小子2 小时前
vue3实战:.ts文件中的interface定义与抛出、其他文件的调用方式
前端·javascript·vue.js
DoraBigHead3 小时前
你写前端按钮,他们扛服务器压力:搞懂后端那些“黑话”!
前端·javascript·架构
Xiaouuuuua4 小时前
一个简单的脚本,让pdf开启夜间模式
java·前端·pdf