為什么oauth2中的授權(quán)碼模式 在獲取token之前非要先到資源服務(wù)器獲取一個code 然后才使用資源服務(wù)器的code去資源服務(wù)器去申請token?
看了很多資料說是因為 用戶在確認授權(quán)之后 資源服務(wù)器會跳轉(zhuǎn)到我們指定的一個回調(diào)url, 如果直接返回token的話,誰都可以在瀏覽器中看到這個token 那就沒有安全性可言了
但是我有個困惑
那就是為什么 資源服務(wù)器非要跳轉(zhuǎn)到第三方站點給的回調(diào)url呢���? 我的url如果是個接口 資源服務(wù)器完全可以不通過瀏覽器跳轉(zhuǎn) 而是直接回調(diào)我的接口 直接吧token給我的服務(wù)器��, 然后我的服務(wù)器存儲好token之后 自己決定如何跳轉(zhuǎn)不就行了��?
這樣豈不是比授權(quán)模式簡單也比隱式模式安全
