我们知道:
在里面OAuth 2.0有Authorization Code Flow几个实体:
- 一个)
User - B) 用户代理 (
Browser) - C) 客户端应用程序 (
Mobile App) - D) 机密客户(中间人
Web Server) - E)
Authorization Server
我们也知道需要保留Web Server和Client Secret返回的/token路线。Authorization ServerAuthorization CodeClient SecretAccess Token
我的问题:
当用户登录到Authorization Providerbybrowser并Authorization Server返回Authorization Code到重定向 URL(到)时,到底应该Web Server执行以下哪一种方式?为什么?
X)
Web Server应该返回Authorization Code作为对Browser适当深度链接格式的响应。Browser打开Mobile App并传递给Authorization Code它- 使用PKCE
Mobile App将发送到(通过调用 API)并发送请求以获取并将返回到.Authorization CodeWeb ServerWeb ServerAuthorization ServerAccess tokenMobile App
是)
Web Server应该Access Token通过接收到的来获取并以深度链接格式Authorization Code返回Access Token给浏览器的响应。Browser打开Mobile App并传递给Access Token它。
我在这里看到了下面的图表:
并认为正确的方式是X,因为在X方式中,无需深度链接即可直接Mobile App获取,并且X是安全的。但我需要一份有效的文件并在答案中参考官方文件。Access TokenAPIBrowser
我想确定......哪一个是正确的方法?X还是Y?
.