@
kejialiu 『不会经过浏览器』 -> 言下之意是数据经过浏览器的话在这一步可能会有风险。why ?什么风险呢?
@
oneisall8955 谢谢。我粗看了 password 模式,里面说
as there is no way to add multifactor authorization to this flow, and your options for detecting brute force attacks are more limited. This flow should not be used in practice.
emmm ,但为什么不用 code 直接发 token 会导致 no way to add multifactor authorization 和 options for detecting brute force attacks are more limited 呢?(直接拿到 token 不要 code 并不意味着应用不做第二步——向授权服务器验证 token 有效——在有 code 的流程里,这一步是应用拿着 code 去验证并拿回 token——我是想问为什么不一开始就让应用程序拿到 token ,然后这一步让应用拿着 token 去验证)