OAuth 2.0 隱式授權

tools.ietf.org/html/rfc6749#section-1.3.2

隱式流程是一種簡化的 OAuth 流程，以前建議用於原生應用程式和 JavaScript 應用程式，其中立即傳回存取權杖，而無需額外的授權碼交換步驟。

不建議使用隱式流程（而且有些伺服器會完全禁止這種流程），因為在不確認客戶端已收到存取權杖的情況下，其在 HTTP 重新導向中傳回存取權杖會產生內在風險。

現在，像原生應用程式和 JavaScript 應用程式這類公開用戶端應改用 授權碼 流程和 PKCE 延伸功能。

OAuth 2.0 安全最佳現行做法 文件建議完全不使用隱式流程；而 OAuth 2.0 for Browser-Based Apps 則說明了一種改用授權碼流程和 PKCE 的技術。

更多資源

• 影片：什麼是隱式流程的運作方式？作者：Aaron Parecki
• OAuth 2.0 隱式流程已死？作者：Aaron Parecki (developer.okta.com)
• OAuth 2 隱式授權和 SPA作者：Vittorio Bertocci (auth0.com)
• 安全地使用 OIDC 授權碼流程和單一頁面應用程式的公開用戶端作者：Robert Broeckelmann (pingidentity.com)
• 為什麼你應該停止使用 OAuth 隱式授權作者：Torsten Lodderstedt
• 什麼是 OAuth 2.0 隱式授權類型？ (developer.okta.com)
• 已停用的隱式流程 (developer.yahoo.com)
• OAuth 2.0 安全最佳現行做法 (ietf.org)
• OAuth 2.0 for Browser-Based Apps (ietf.org)
• 單一頁面應用程式 (aaronparecki.com)
• OAuth 2.0 Playground 的隱式授權
• 隱式流程偵測器適用於 Chrome 的瀏覽器擴充功能