OAuth 2 клиентский код доступа и предоставления

Question

Я читаю протокол oauth 2, используя различные ссылки в Интернете и его rfc (RFC 6749). После прохождения через ссылку У меня есть следующие сомнения:

1. ли это требуется для сервера авторизации, чтобы сохранить код гранта в его конце после того, генерируется и передается код клиенту?

2. Существует сценарий, в котором 2 разных клиента пытаются получить маркер с сервера авторизации: первый клиент получает маркер после того, как владелец ресурса зарегистрировал и одобрил доступ. Затем второй клиент (который полностью отличается от первого) пытается получить токен.

   а) В случае, если второй клиент перенаправляется и владелец ресурса должно быть предложено снова войти в систему или если сервер авторизации имеют реализацию таким образом, что она обнаруживает, что владелец ресурса вошли в ранее и не будет запросить имя пользователя и пароль с ресурса
   владелец?

   b) если ответ на предыдущий вопрос - да, как мы можем справиться с вышеуказанным сценарием ?

Answer 1

1. Средство авторизации сервер должен поддерживать состояние, связанное с code а.о. идентификатор клиента, к которому он был обращен, URL-адрес перенаправления, который использовал клиент, и отметку времени выпуска. Это обычно означает, что сервер авторизации должен поддерживать code в качестве ссылки на это состояние, которое хранится в бэкэнд. Один из способов избежать этого - кодировать всю информацию в code и шифровать ее.

2. Для авторизации сервер авторизации может использовать сеанс входа в систему или полагаться на внешний SSO-сервер, чтобы пользователь не нуждался в повторной аутентификации. Но то, что нужно, это попросить пользователя дать согласие на выдачу токена конкретному клиенту, как для первого, так и для второго клиента. Итак: аутентификация может быть неявной (SSO), согласие должно быть явным (поскольку речь идет о другом клиенте).