আমি জানি না যে আমার কাছে কেবল একধরনের অন্ধ স্পট রয়েছে বা কী, তবে আমি OAuth 2 স্পপটি বেশ কয়েকবার পড়েছি এবং মেলিং তালিকার সংরক্ষণাগারগুলি অনুধাবন করেছি এবং কেন এখনও নিষ্ক্রিয় অনুদানের একটি ভাল ব্যাখ্যা খুঁজে পাইনি I টোকেন অ্যাক্সেস পাওয়ার জন্য প্রবাহ বিকাশ করা হয়েছে। অনুমোদনের কোড অনুদানের সাথে তুলনা করে, মনে হয় কেবল কোনও বাধ্যবাধকতার কারণে ক্লায়েন্টের প্রমাণীকরণ ছেড়ে দেওয়া উচিত। এটি কীভাবে "স্ক্রিপ্টিং ভাষা ব্যবহার করে ব্রাউজারে প্রয়োগ করা ক্লায়েন্টদের জন্য অনুকূলিত হয়" (নির্দিষ্টকরণের উদ্ধৃতি দিতে)?
উভয় প্রবাহই একইরকম শুরু হয় (উত্স: http://tools.ietf.org/html/draft-ietf-oauth-v2-22 ):
- ক্লায়েন্টটি রিসোর্স মালিকের ব্যবহারকারী-এজেন্টকে অনুমোদনের শেষ পয়েন্টে পরিচালিত করে প্রবাহ শুরু করে।
- অনুমোদনের সার্ভারটি রিসোর্স মালিককে (ব্যবহারকারী-এজেন্টের মাধ্যমে) প্রমাণীকরণ করে এবং সংস্থান করে যে ক্লায়েন্টের অ্যাক্সেসের অনুরোধটি মঞ্জুরি দেয় বা অস্বীকার করে।
- রিসোর্স মালিককে অ্যাক্সেস মঞ্জুর করে বলে ধরে নিলে, অনুমোদনের সার্ভারটি ইউজার-এজেন্টকে ক্লায়েন্টের কাছে পুনরায় পুনর্নির্দেশ করে ইউআরআই সরবরাহিত পুনঃনির্দেশ ব্যবহার করে (অনুরোধে বা ক্লায়েন্ট নিবন্ধের সময়)।
- পুনঃনির্দেশ ইউআরআইতে একটি অনুমোদনের কোড অন্তর্ভুক্ত রয়েছে (অনুমোদনের কোড প্রবাহ)
- পুনঃনির্দেশ ইউআরআইতে ইউআরআই খণ্ডে প্রবেশের টোকেন অন্তর্ভুক্ত রয়েছে (অন্তর্নিহিত প্রবাহ)
এখানে যেখানে প্রবাহ বিভক্ত হয়। উভয় ক্ষেত্রেই পুনঃনির্দেশের ইউআরআই এই সময়ে ক্লায়েন্ট দ্বারা হোস্ট করা কিছু শেষ পয়েন্টে:
- অনুমোদনের কোড প্রবাহে, যখন ব্যবহারকারী এজেন্টটি ইউআরআই-তে অনুমোদনের কোডের সাথে শেষের পয়েন্টটি হিট করে, তখন এই শেষ পয়েন্টের কোডটি অ্যাক্সেস টোকেনের জন্য তার ক্লায়েন্টের শংসাপত্রগুলির সাথে অনুমোদনের কোডটি বিনিময় করে যা এটি প্রয়োজনমতো ব্যবহার করতে পারে। এটি উদাহরণস্বরূপ, এটি কোনও ওয়েব পৃষ্ঠায় লিখতে পারে যা পৃষ্ঠার কোনও স্ক্রিপ্ট অ্যাক্সেস করতে পারে।
- অন্তর্নিহিত প্রবাহ এই ক্লায়েন্টের প্রমাণীকরণের পদক্ষেপ পুরোপুরি এড়িয়ে যায় এবং কেবল ক্লায়েন্ট স্ক্রিপ্ট সহ একটি ওয়েব পৃষ্ঠা লোড করে। ইউআরএল খণ্ডের সাথে এখানে একটি সুন্দর কৌশল রয়েছে যা অ্যাক্সেস টোকেনকে প্রায় খুব বেশি পরিমাণে পাস হতে দেয় না, তবে শেষ ফলাফলটি মূলত একই: ক্লায়েন্ট-হোস্ট করা সাইটটিতে এমন কোনও স্ক্রিপ্টের সাথে একটি পৃষ্ঠা পরিবেশন করা হয় যা অ্যাক্সেস টোকেন ধরে ফেলতে পারে ।
সুতরাং আমার প্রশ্ন: ক্লায়েন্ট প্রমাণীকরণের পদক্ষেপ এড়িয়ে এখানে কী অর্জন করা হয়েছে?