왜 Oauth2에서 인증 코드가 필요한가요?

Question

인증 코드 부여는 OAuth2의 4 가지 권한 부여 유형 중 하나입니다. Implicit Grant에서 인증 토큰은 직접 응답으로 되돌려 보내지 만 Authorization Code Grant (인증 코드 부여)에서 응답으로 코드가 다시 전송되고 인증 서버에서 토큰을 검색하는 데 사용됩니다.

나의 질문은 Implicit Grant에서와 같이 직접 토큰을 돌려 보내는 대신 Authorization Code Grant에 Authorization Code가 필요한 이유입니다.

Answer 1

인증 코드 부여를 사용하면 토큰에 대한 인증 코드 교환이 서버 측 (즉, 브라우저에서 직접 수행되지 않음)에서 발생합니다. 이 방법을 사용하면 클라이언트 비밀 및 토큰을 서버에서 "안전하게"보관할 수 있습니다. 암시 적 흐름이 약간의 보안 함의를 희생시키면서 만드는 "단순화"에 대해 here을 읽으십시오.