使用“隐式”流，客户端(可能是浏览器)将在资源所有者(即用户)授予访问权限后获得一个访问令牌。

然而，在“授权代码”流程中，客户端(通常是web服务器)只有在资源所有者(即用户)授予访问权限后才能获得授权代码。有了这个授权代码，客户端再一次调用API，将client_id和client_secret与授权代码一起传递，以获得访问令牌。这里都有详细的描述。

两个流都有完全相同的结果:一个访问令牌。然而，“隐式”流要简单得多。

问题是:当“隐式”流似乎工作得很好时，为什么要麻烦“授权代码”流呢?为什么不只是使用“隐式”的web服务器?

对于提供者和客户机来说，都需要做更多的工作。

我有一个使用JWT的无状态身份验证模型的新SPA。我经常被要求引用OAuth进行身份验证流程，比如要求我为每个请求发送“承载令牌”，而不是简单的令牌头，但我确实认为OAuth比简单的基于JWT的身份验证要复杂得多。主要的区别是什么，我应该让JWT身份验证像OAuth一样吗?

我还使用JWT作为我的XSRF- token来防止XSRF，但我被要求将它们分开?我应该把它们分开吗?这里的任何帮助都将受到感谢，并可能为社区提供一套指导方针。

在https://code.google.com/apis/console网站上，我已经注册了我的应用程序，设置生成的客户端ID:和客户端秘密到我的应用程序，并尝试登录谷歌。 不幸的是，我收到了错误信息:

Error: redirect_uri_mismatch
The redirect URI in the request: http://127.0.0.1:3000/auth/google_oauth2/callback did not match a registered redirect URI

scope=https://www.googleapis.com/auth/userinfo.profile https://www.googleapis.com/auth/userinfo.email
response_type=code
redirect_uri=http://127.0.0.1:3000/auth/google_oauth2/callback
access_type=offline
approval_prompt=force
client_id=generated_id

这条信息是什么意思，我该如何修复它? 我使用宝石omniauth-google-oauth2。

根据我的理解，为了Site-A从Site-B访问用户的信息，OAuth 2中发生了以下一系列事件。

Site-A registers on Site-B, and obtains a Secret and an ID. When User tells Site-A to access Site-B, User is sent to Site-B where they tell Site-B that they would indeed like to give Site-A permissions to specific information. Site-B redirects User back to Site-A, along with an Authorization Code. Site-A then passes that Authorization Code along with its Secret back to Site-B in return for a Security Token. Site-A then makes requests to Site-B on behalf of User by bundling the Security Token along with requests.

在高水平上，所有这些在安全和加密方面是如何工作的?OAuth 2如何使用安全令牌防止重放攻击?

简单来说，有人能解释一下OAuth 2和OAuth 1之间的区别吗?

OAuth 1现在过时了吗?我们应该实现OAuth 2吗?我没有看到很多OAuth 2的实现;大多数人仍在使用OAuth 1，这让我怀疑OAuth 2是否可以使用。是吗?

OAuth 2.0协议草案的第4.2节指出，授权服务器可以返回access_token（用于通过资源验证自己）和refresh_token，refresh_taken纯粹用于创建新的access_token:

https://www.rfc-editor.org/rfc/rfc6749#section-4.2

为什么两者都有？为什么不让access_token和refresh_token一样长，而不设置refresh_taken？