很简单,client是怎么拿到code的?
code 是通过浏览器重定向获取的,你在浏览器地址栏就可以看到,如果这一步不返回code而是直接返回access token,那么这个token其实已经暴露了.
而client拿到code以后换取access token是client后台对认证服务器的访问,不依赖浏览器,access token不会暴露出去.
很简单,client是怎么拿到code的?
code 是通过浏览器重定向获取的,你在浏览器地址栏就可以看到,如果这一步不返回code而是直接返回access token,那么这个token其实已经暴露了.
而client拿到code以后换取access token是client后台对认证服务器的访问,不依赖浏览器,access token不会暴露出去.