Oauth2.0的核心機制已經總結完畢。除了核心機制,Oauth2.0 還提供了幾種標準的受權流程,分別適用於不一樣的場景。其中一種叫作 Implicit 受權,適用於純靜態頁面應用。所謂純靜態頁面應用,也就是應用沒有在服務器上執行代碼的權限(一般是把代碼託管在別人的服務器上),只有前端 Js 代碼的控制權。前端
這種場景下,應用是沒有持久化存儲的能力的。所以,按照 Oauth2.0 的規定,這種應用是拿不到 refresh token 的。其整個受權流程是這樣:服務器
對於這種應用,access token 是容易泄露的,且不可刷新。blog