我看好多文章、博客讲解password模式都是这样做的,如下所示:
问题是,这样client_secret不就明文传输了吗,会不会不安全?
比如授权服务是A,你的后端服务是B,你的客户端是C,这个接口属于A,那么你实际上是C请求到B再请求到A,而这些信息都是保存在你的后端服务B的。后端传输如果是自己的服务应该不用考虑。如果是第三方授权服务,第三方应该会有做对称加密。
2.1m questions
2.1m answers
60 comments
57.0k users
