看了阮一峰老師的教程后對照著自己寫了個認證服務器����,現(xiàn)在流程基本走通�,但是在“客戶端拿著授權(quán)碼向服務器申請令牌”這一步有如下幾個疑問:
首先,教程給出的請求示例是:
POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded
grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
問題一:
頭部Authorization: Basic后面跟的是不是應該是加密的cliect_id+slient_secret呢?
認證服務器接收到請求后解析Authorization���,根據(jù)Basic之后的信息去驗證客戶端的合法性�����。
問題二:
頭部Content-Type是否能夠設置成applicaction/json呢�,我搜了一下資料說是‘a(chǎn)pplication/x-www-form-urlencoded’這種類型一般是用于form表單提交����,我在這里沒有用form表單是不是可以改成application/json呢�����?
問題三:
token生成后直接response.send()返回就可以嗎,還是說保存到session或者別的什么地方返回給客戶端比較好呢�?
(目前code和token的生成方法都是用的Crypto包隨機生成的字符串并哈希���,不知道有沒有什么別的方式可以優(yōu)化�����,比如生成的token里面帶上相關(guān)的信息之類的)
