参考:参考网站
- 授权码模式(适用于前后端分离)
这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。
一般应用于第三方网站通过微信、QQ、Github登陆就是这种模式
网站应用微信登陆开发指南
问题:为什么使用授权码
原因:避免令牌泄露
问题:为什么不直接返回授权码给B站
原因:多个授权码同时返回给B站,B站无法判断哪个授权码属于哪个用户
- 隐藏式(适合没有后台的第三方,不推荐)
有些 Web 应用是纯前端应用,没有后端。这时就不能用上面的方式了,必须将令牌储存在前端。RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)“隐藏式”(implicit)。
<