OAuth2

用于无浏览器和输入受限设备的 OAuth OAuth 2.0“设备流”扩展在具有 Internet 连接但没有浏览器或没有简单的文本输入方法的设备上启用 OAuth。如果您曾在 Apple TV 等设

Native App 使用OAuth 为本机应用程序支持 OAuth 时要牢记的一些特殊注意事项。与基于浏览器的应用程序一样，本机应用程序不能使用客户端机密，因为这将要求开发人员在应用程序的二进制分发

资源服务器 resource-server 资源服务器是 API 服务器的 OAuth 2.0 术语。资源服务器在应用程序获得访问令牌后处理经过身份验证的请求。 大规模部署可能有多个资源服务器。例如，

展现用户授权的应用 一旦用户开始授权多个应用程序，允许许多应用程序访问他们的帐户，就有必要提供一种方法来允许用户管理具有访问权限的应用程序。这通常在帐户设置页面或帐户隐私页面中呈现给用户。 OAuth

刷新令牌 Refreshing-access-tokens 如何让您的开发人员使用刷新令牌来获取新的访问令牌。如果您的服务随访问令牌一起发出刷新令牌，则您需要实现此处描述的刷新授权类型。 请求参数 访

Access Token 访问令牌 当您的服务发出访问令牌时，您需要就您希望令牌持续多长时间做出一些决定。不幸的是，没有针对每项服务的一揽子解决方案。不同的选项会带来各种权衡，因此您应该选择最适合您的

Token 编解码 令牌提供了一种通过在令牌字符串本身中编码所有必要信息来避免将令牌存储在数据库中的方法。这样做的主要好处是 API 服务器能够验证访问令牌，而无需对每个 API 请求进行数据库查找，

AccessToken 访问令牌是应用程序用来代表用户发出 API 请求的东西。访问令牌代表特定应用程序访问用户数据的特定部分的授权。 访问令牌不必是任何特定格式，尽管对不同的选项有不同的考虑，这将在

回调地址 Redirect URL 重定向 URL 是 OAuth 流程的关键部分。用户授权应用成功后，授权服务器会将用户重定向回应用。由于重定向 URL 将包含敏感信息，因此服务不会将用户重定向到任

从0开始构建一个Oauth2Server服务 16 授权范围 Scope 范围是一种限制应用程序访问用户数据的方法。与其授予对用户帐户的完全访问权限，不如让应用程序能够代表用户请求更有限范围内允许它们

安全问题 以下是构建授权服务器时应考虑的一些已知问题。 网络钓鱼攻击 针对 OAuth 服务器的一种潜在攻击是网络钓鱼攻击。这是攻击者创建一个看起来与服务授权页面相同的网页的地方，该页面通常包含用户名

授权响应 The Authorization Response 一旦用户完成登录并批准请求，授权服务器就准备好将用户重定向回应用程序。 授权码响应 如果请求有效且用户同意授权请求，授权服务器将生成授权

用户登录 单击应用程序的“登录”或“连接”按钮后，用户首先会看到的是您的授权服务器 UI。由授权服务器决定是要求用户在每次访问授权屏幕时都登录，还是让用户在一段时间内保持登录状态。如果授权服务器在请求

删除应用程序和撤销Secrets 开发人员将需要一种方法来删除（或至少停用）他们的应用程序。为开发人员提供一种方法来为他们的应用程序撤销和生成新的客户端密码也是一个好主意。 删除应用程序 当开发者删除

注册应用程序 当开发人员访问您的网站时，他们将需要一种方法来创建新的应用程序并获取凭据。通常，在他们可以创建应用程序之前，您会让他们创建一个开发者帐户，或代表他们的组织创建一个帐户。 虽然 OAuth

`Authorization`访问令牌在以文本为前缀的HTTP 标头中发送到服务`Bearer`。从历史上看，某些服务允许在 post 正文参数甚至 GET 查询字符串中发送令牌，但这些方法也有缺点，

从0开始构建一个Oauth2Server服务 6 移动和本机应用程序 与单页应用程序一样，移动应用程序也无法维护客户机密。因此，移动应用程序还必须使用不需要客户端密码的 OAuth 流程。当前的最佳做

从0开始构建一个Oauth2Server服务 5 单页应用 单页应用程序（也称为基于浏览器的应用程序）在从网页加载 JavaScript 和 HTML 源代码后完全在浏览器中运行。由于浏览器可以使用整

高级概述是这样的： - 使用应用程序的客户端 ID、重定向 URL、状态和 PKCE 代码查询参数创建登录链接 - 用户看到授权提示并批准请求 - 使用授权码将用户重定向回应用程序的服务器 - 该应

服务器端应用程序是处理 OAuth 服务器时遇到的最常见的应用程序类型。这些应用程序在 Web 服务器上运行，其中应用程序的源代码不向公众开放，因此它们可以维护其客户端机密的机密性。