может ли информация Oauth передаваться с клиента на сервер, а затем напрямую использоваться сервером?

Question

Hello Мой сценарий следующий.

Клиентское приложение (на мобильном телефоне) подключается к Facebook через обычный процесс аутентификации.Пользователь дает согласие приложению на доступ к профилю, возвращает обратно код авторизации для пользователя.С этим кодом, а также идентификатором приложения и секретом клиент получает токен доступа для доступа к информации.

Можно ли передать код авторизации веб-службе, которая, в свою очередь, обращается к Facebook для получения доступажетон так же?

Я не уверен, что это возможно, потому что при чтении документации похоже, что API токена доступа требует URI перенаправления в качестве параметра.Здесь вместо этого будет ожидаться завершение вызова веб-службы.

Надеюсь, это не смущает ...:)

заранее спасибо

Answer 1

«Я не уверен, что это возможно, потому что при чтении документации это выглядит как API токена доступа требует URI перенаправления в качестве параметра. "

spec говорит

redirect_uri (из запроса токена доступа):

     REQUIRED, if the "redirect_uri" parameter was included in the
     authorization request ... their values MUST be identical.

технически, клиент может передать серверу код авторизации и «redirect-uri», поэтому сервер выполняет вызов с тем же redirect-uri, что и клиент, и если вы контролируете оба конца, это может сработать. Однако сложность заключается в том, что клиент также должен отправить серверу идентификатор клиента и секретный ключ клиента . И если это произойдет, это противоречит всей идее oAuth2 .