क्योंकि मोबाइल ऐप्स client_secret की गोपनीयता की गारंटी नहीं दे सकते हैं, वे अनुदान प्रकार का उपयोग कर सकते हैं जिसके लिए इसकी आवश्यकता नहीं है। यह Implicit Grant है। विचार response_type=token पैरामीटर का उपयोग कर प्राधिकरण समाप्ति बिंदु को मोबाइल ब्राउज़र पुनर्निर्देशित करना होता है:
https://example.com/authorize?response_type=token&client_id=CLIENT_ID&redirect_uri=http://REDIRECT_URI
पहचान प्रदाता के खिलाफ ब्राउज़र उपयोगकर्ता के सत्यापन के बाद वापस redirect_uri प्राधिकरण अनुरोध में निर्दिष्ट करने के लिए पुनः निर्देशित किया जाएगा और पहुंच टोकन पारित कर दिया :
http://REDIRECT_URI/#token=ACCESS_TOKEN
फिर आप ब्राउज़र (इसी घटनाओं शुरू हो रहा हो जब यूआरएल परिवर्तन करने के लिए सदस्यता लेने के द्वारा) में यह विशेष रूप से तैयार की गई यूआरएल के लिए अनुरोध, पहुँच टोकन है कि पारित हो जाता है निकालने और को यह टोकन का उपयोग अवरोधन एयू बनाओ तत्काल अनुरोध
यदि कोई ग्राहक आईडी प्राप्त करता है, तो क्या वे डुप्लिकेट ऐप बनाने के लिए उपयोग कर सकते हैं? सुरक्षा उपरोक्त परिदृश्य में कैसे काम करती है?
ओएथ 2 आपके आवेदन की बौद्धिक संपदा की रक्षा के लिए डिज़ाइन नहीं किया गया है। यह एक प्रमाणीकरण प्रोटोकॉल है। इसके साथ या इसके बिना, कोई भी आपके आवेदन को डुप्लिकेट कर सकता है। विचार यह है कि client_secret के बिना कोई एप्लिकेशन अनुदान प्रकारों का उपयोग नहीं कर सकता है जिसके लिए इसकी आवश्यकता होती है और आमतौर पर जारी एक्सेस टोकन को अधिक अनुमतियां और स्कोप्स देते हैं।
स्रोत
2015-11-29 10:59:30