[Oauth] OAuth 2.1废弃隐式验证方式

oauth2.0中的隐式模式是下面这样的 , 直接通过前端页面访问授权服务获取token , 授权服务直接重定向回去 , 在浏览器//域名/回调url#access_token

把token以url哈希的形式 , 在#后面带回去了 

 

这种方式非常不安全 , token容易泄露 

一般的流程是在申请应用的地方 , 会自动生成client_id  ,  并且让填一个回调地址 , 那这俩参数来获取token

 

1. 获取code

https://b.com/oauth/authorize?
response_type=token&
client_id=CLIENT_ID&
redirect_uri=CALLBACK_URL&
scope=read

比如qq的第三方登陆 , 就可以以这种方式 ,直接在自己页面上放个这个链接 , 就可以调到qq授权页 , 授权成功的会跳回自己的网站 , 在回调地址后面带着token