社交登录—为何用code换取access_token
用账号密码访问 认证服务器 获取认证 得到 code 为什么不直接给token
再用token + clientId 密钥 做头,换取token
可能因为认证服务器 需要clientId 等 做权限
token直接返回,很危险 安全漏洞
---密钥token等敏感信息 应该在后台交互
用账号密码访问 认证服务器 获取认证 得到 code 为什么不直接给token
再用token + clientId 密钥 做头,换取token
可能因为认证服务器 需要clientId 等 做权限
token直接返回,很危险 安全漏洞
---密钥token等敏感信息 应该在后台交互
