Oauth2.0的核心机制已经总结完毕。除了核心机制,Oauth2.0 还提供了几种标准的授权流程,分别适用于不同的场景。其中一种叫做 Implicit 授权,适用于纯静态页面应用。所谓纯静态页面应用,也就是应用没有在服务器上执行代码的权限(通常是把代码托管在别人的服务器上),只有前端 Js 代码的控制权。
这种场景下,应用是没有持久化存储的能力的。因此,按照 Oauth2.0 的规定,这种应用是拿不到 refresh token 的。其整个授权流程是这样:
对于这种应用,access token 是容易泄露的,且不可刷新。
原文:http://www.cnblogs.com/blowing00/p/4524192.html