В чем разница между двумя рабочими процессами? Когда использовать поток кода авторизации?
OAuth 2.0 имеет несколько рабочих процессов. У меня есть несколько вопросов относительно двух.
Поток кода авторизации - Пользователь входит в систему из клиентского приложения, сервер авторизации возвращает код авторизации в приложение. Затем приложение обменивает код авторизации на токен доступа.Неявный поток грантов - Пользователь входит в систему из клиентского приложения, сервер авторизации выдает токен доступа клиентскому приложению напрямую.В чем разница между двумя подходами с точки зрения безопасности? Какой из них более безопасный и почему?
Я неНе вижу причины, по которой дополнительный шаг (код авторизации обмена для токена) добавляется в один рабочий процесс, когда сервер может напрямую выдать токен доступа.
Различные веб-сайты говорят, что поток кода авторизации используется, когда клиентское приложение может обеспечить безопасность учетных данных. Зачем?