了解Oauth 2.0：谁将访问令牌交给您的网络浏览器？

深入了解OAuth 2.0授权代码流的复杂性，并了解如何管理访问令牌。本指南将阐明您的Web浏览器如何与访问令牌进行交互。 ---此视频基于一个问题https://stackoverflow.com/q/70335208/由用户'kid_learning_c'询问（https://stackoverflow.com/u/3703783/），以及答案https：//stackoverflow.com/.com.com/a' https://stackoverflow.com/u/1712294/）在“堆栈溢出”网站上。感谢这些出色的用户和Stackexchange社区的贡献。请访问这些链接以获取原始内容和更多详细信息，例如备用解决方案，有关主题，评论，修订历史记录等的最新更新/开发。此外，内容（音乐除外）在CC BY-SA https://meta.stackexchange.com/help/licensing授权下，原始问题帖子在“ CC BY-SA 4.0'（https：//creativecommons.org/licenses.org/licenses/license/blicense/by-sa/4.0/- sa ccccccccccccccccc）下授权。 https://creativecommons.org/licenses/by-sa/4.0/）许可证。如果您似乎有什么事，请随时用vlogize [at] gmail [dot] com写信给我。 ---了解Oauth 2.0：谁将访问令牌交给您的网络浏览器？在Web应用程序的世界中，在提供无缝访问的同时确保用户信息是一个优先事项。这是Oauth 2.0发挥作用的地方，尤其是其授权代码流。但是，您是否想知道在此过程中，谁确切地将访问令牌交给您的网络浏览器？让我们分步分解。什么是Oauth 2.0？ OAuth 2.0是一个框架，允许第三方应用程序获得对用户数据的有限访问，而无需公开用户的凭据。它通过各种赠款类型来做到这一点，这是获得访问令牌的方法。授权代码流就是一种这样的方法，主要由Web应用程序使用。授权代码流解释了步骤1：授权请求用户启动了访问授权服务器保护资源的请求。用户被重定向到他们身份验证的授权服务器。认证后，使用授权代码将授权服务器重定向到应用程序。步骤2：令牌交换Web浏览器接收授权代码，并将其发送到应用程序的后端。然后，后端应用程序将请求发送到授权服务器的 /oauth /令牌端点，以交换授权代码以供访问令牌。步骤3：建立用户会话一旦应用程序从授权服务器接收访问令牌，就可以在Web浏览器中建立一个用户会话。这是至关重要的，因为它将一个用户与另一个用户区分开来，并在应用程序中维护其各自的会话。浏览器会获取访问令牌吗？这是关键澄清：浏览器不需要访问令牌本身。这与隐式流程根本不同，在该流程中，令牌直接发送给浏览器以用于后续请求。在此代码流中，该过程在服务器端进行处理，从浏览器的直接处理中隔离了访问令牌。浏览器为什么不使用访问令牌？浏览器无法处理令牌：Web浏览器，通过设计，不理解或管理访问令牌，就像处理cookie或其他会话标识符一样。会话管理：该应用程序使用会话来跟踪用户身份验证和授权，而不是依靠令牌进行交互。会话管理的角色当您的应用程序接收访问令牌时，理想情况下应该在浏览器上下文中为已登录用户创建会话。这意味着每次用户与应用程序进行交互时，都会通过该会话管理必要的授权，而不是要求实际的令牌随附每个请求。要记住的要点：该应用程序可以安全地处理访问令牌，并使用它们来验证API调用。如果主要目标是简单地验证用户，则传统的会话管理可能足够而不是完全实施OAuth。结论了解OAuth 2.0与用户会话的管理方式的行为，使开发人员和用户都可以在Web应用程序中掌握基本的安全实践。总而言之，尽管应用程序管理访问令牌，但至关重要的是，必须进行有效的会话管理，以确保用户可以与应用程序进行交互而无需直接在浏览器中暴露敏感令牌。这可以增强安全性和用户体验。通过揭开授权代码流的访问代币的旅程，您可以更好地保护应用程序与用户的交互