OAuth 2.0 隐式授权 (http://tools.ietf.org/html/draft-ietf-oauth-v2-31#section-4.2) 涉及客户端应用程序、浏览器和授权服务器之间的一些有趣的编排。身份验证服务器向浏览器返回 HTTP 302 状态代码,并带有如下所示的 Location 标头:
位置:http://clientapp.com/cb#access_token=2YotnFZFEjr1zCsicMWpAA&state=xyz&token_type=example&expires_in=3600
浏览器在执行重定向之前会丢弃片段,clientapp.com/cb 上的服务应该响应 [from the spec]“能够访问完整重定向 URI 的网页(通常是带有嵌入脚本的 HTML 文档),包括用户代理保留的片段,并提取片段中包含的访问令牌(和其他参数)”。
我已经实现了授权服务器部分,但 JavaScript 经验很少。如何让 JavaScript 访问浏览器在重定向之前剥离的片段?
谢谢,
迈克尔