В чем разница между токенами доступа и auth_codes в OAuth 2

Question

Я использую PHP-библиотеку OAuth 2.0 для разработки сервера OAuth 2.0 на PHP.

В примере этой библиотеки я вижу 3 таблицы: auth_codes, clients и tokens.

Насколько я знаю, токены используются для доступа к данным, а коды авторизации используются для получения токенов.

Но проблема в том, что если я сделаю

...authorize.php?client_id=0123456789ab&response_type=token&state=test_state

Я могу получить токен, даже не получив код доступа.

Как это возможно? Это правильная реализация?

Answer 1

Существует два потока для OAuth2 аутентификации.

1. Двуногий OAuth
2. Трехсторонний OAuth

Здесьвы столкнулись с 2-ножным OAuth , который не требует auth_code для получения access_token dance:)

Это несколько полезных ссылок, которые помогут вам лучше понять разницу.

1. http://cakebaker.42dh.com/2011/01/10/2-legged-vs-3-legged-oauth/
2. https://sites.google.com/site/oauthgoog/2leggedoauth/2opensocialrestapi