Сценарий
Опираясь на:
Неявное предоставление пропускает код грант и получает маркер идентификации за один шаг. Это менее безопасно, поскольку клиент идентифицируется только с помощью client_identifier
. Неявный поток не отправляет client_secret
, так как client_secret
нельзя сохранить в браузере.
Подход
Мы просим сервер авторизации отправить нам токен напрямую, установив для response_type
значение token
:
https://accounts.google.com/uaa/oauth/authorize?response_type=token& client_id=cid&redirect_uri=https://example.com/callback&scope=email,openid,profile&state=3252342
Нам по-прежнему нужно войти в систему с нашим именем пользователя и паролем (если конечная точка авторизации не распознает нас через файл cookie — используйте режим инкогнито, чтобы избежать этого).