1

我正在为隐式流开发 OAuth2 客户端,并且正在实现基于 IFrame 的刷新(因为隐式流中没有刷新令牌)。

我坚持的是试图找出将访问令牌传递回服务器的“标准”。我是通过 access_token 查询字符串参数传回,还是在设置 IFrame 源时必须以某种方式设置 Authorization 标头(这似乎有点困难)?

4

1 回答 1

1

这是我被告知的内容......在用户对初始授权请求进行身份验证后,授权服务器存储一个 cookie(在其自己的域下)。cookie 排除了对来自隐藏 IFrame 的后续调用的重新身份验证,因此无需从客户端传递任何内容作为查询字符串参数、标头等。

于 2018-08-14T13:15:45.117 回答