implicit grant 模式又称client-side 模式,主要用在没有无法安全存储access token的使用场景。适用于所有无Server端配合的应用(由于应用往往位于一个User Agent里,如浏览器里面,因此这类应用在某些平台下又被称为Client-Side Application),如手机/桌面客户端程序、浏览器插件等,以及基于JavaScript等脚本客户端脚本语言实现的应用,他们的一个共同特点是,应用无法妥善保管其应用密钥(App Secret Key),如果采取Authorization Code模式,则会存在泄漏其应用密钥的可能性。
implicit grant模式比较简单,整个流程也是围绕着怎么获取access token展开的。整体的流程图如下所示:
步骤:
1. 第三方应用跳转或者弹出框进入授权页面,需要在url中传递client_id,response_type,redirect_uri,scope等信息,其中response_type值为token。
2. 用户认证授权完成后跳转到redirect_uri,并且在url后追加返回值。返回值有access_token,expires_in,scope,state等。
3.至此client拿到access_token了,就可以进行下面对api进行操作了。
百度oauth有详细的此种认证授权方式的介绍,见:http://developer.baidu.com/wiki/index.php?title=docs/oauth/
oauth2.0协议之Implicit grant模式解析,布布扣,bubuko.com
原文:http://blog.csdn.net/codelifeofme/article/details/23093053
