OAuth 2.0 隐式授权

tools.ietf.org/html/rfc6749#section-1.3.2

隐式流程是一种简化的 OAuth 流程，以前推荐用于原生应用程序和 JavaScript 应用程序，在不涉及额外授权码交换步骤的情况下立即返回访问令牌。

不建议使用隐式流程（某些服务器完全禁止此流程），因为未经任何确认已由客户端接收就通过 HTTP 重定向返回访问令牌固然存在固有风险。

现在，原生应用程序和 JavaScript 应用程序等公共客户端应改为在 授权码 中使用 PKCE 扩展。

OAuth 2.0 安全最佳当前实践 文档建议完全不使用隐式流程，而 基于浏览器的应用程序的 OAuth 2.0 介绍了改为使用具有 PKCE 的授权码流程的技术。

更多资源

• 视频：隐式流程发生了什么？ Aaron Parecki 著
• OAuth 2.0 隐式流程已死？ Aaron Parecki 著（developer.okta.com）
• OAuth 2 隐式授权和 SPA Vittorio Bertocci 著（auth0.com）
• 安全地使用 OIDC 授权码流程和单页面应用程序的公共客户端 Robert Broeckelmann 著（pingidentity.com）
• 为什么应该停止使用 OAuth 隐式授权（Torsten Lodderstedt 著）
• 什么是 OAuth 2.0 隐式授权类型？（developer.okta.com）
• 已弃用的隐式流程（developer.yahoo.com）
• OAuth 2.0 安全最佳当前实践（ietf.org）
• 基于浏览器的应用程序的 OAuth 2.0（ietf.org）
• 单页面应用程序（aaronparecki.com）
• OAuth 2.0 Playground 上的隐式授权
• 隐式流程检测器 Chrome 的浏览器扩展