《从密码到token， 一个授权的故事》 笔记

最优方案：Authorization Code + Token

1.授权的token 隐藏起来

2.引入了一个叫做Authorization Code 的中间层

3.当用网易账号登录的时候，【网易认证中心】这一次不给【信用卡管家】直接发token,而是发一个授权码(authorization code) , 【信用卡管家】服务器端取到这个code以后，在后台再次访问【网易认证中心】， 这一次【网易认证中心】才发给【信用卡管家】真正的token 。

4.【信用卡管家】引入防御措施，获取Token，只能通过【信用卡管家】发出请求（授权码关联了信用卡管家申请的app_id，app_secret）。同时可以让授权码有时间限制，比如5分钟失效，还有可以让授权码只能换一次token, 第二次就不行了。