使用授权代码流,机密客户端(例如 Web 服务器)以访问令牌和刷新令牌结束。现在,假设 Web 服务器决定将这些令牌直接返回给最终用户(例如:浏览器)。据我所知,这通常被认为是不好的做法,但我无法找出确切原因。
我看过各种类似的问题,但没有一个答案真正让我满意,我相信我可能有误解。
访问令牌应该是短暂的,它通常会在几分钟内过期。除非客户端立即获取数据,否则没有用。刷新令牌用作永久授权,但除非您有意破坏服务器安全性,否则永远不要共享它们。
但据我所知,PKCE 的授权代码流不也是这样吗?使用授权代码流并将令牌返回给最终用户与使用带有 PKCE 的授权代码流最终用户最终也将获得令牌之间的安全性有什么区别?
这个假设替代方案是使用隐式流,但这不是我要说的。我的场景是一个机密应用程序,它使用授权代码流,然后将令牌返回给最终用户,而不是不使用客户端机密的隐式流。