朋友们,在授权代码流中,它说明了在/authorize调用被发起并成功后,授权代码将通过HTTP 302“redirect”URL发送到客户端为什么OAuth规范要求在重定向中发送这个,这样授权代码就在URL参数中发送了。我知道推荐使用PKCE来处理这个授权代码泄漏问题,但我的问题是为什么OAuth规范要求我们首先在URL参数中发送302重定向中的auth代码。为什么客户端(ReactJS webapp)不能向IDP发出一个简单的GET请求,为什么IDP不能将响应主体中的auth代码发送回react JS应用程序(比如通过xmlhttprequest)。任何帮助都是感激的。谢谢。
1条答案
按热度按时间mzmfm0qo1#
如果您使用OAuth2服务(如Google)或其他服务,并且您的React应用程序能够处理整个流,则意味着它可以完全代表用户。
通过要求重定向,这意味着用户自己的浏览器将转到身份验证服务的网站,这是用户可以信任的唯一地方,可以安全地输入密码并授予对应用程序的访问权限。
地址栏中的URL表示信任,用户被训练永远不要在他们不认识的网站上输入密码。