让我首先说，我已经寻找这个问题的答案很长一段时间了……

我试图设置Facebook OAuth与我的应用程序，这是在我的机器上本地开发。Facebook授权的一切都很完美，直到我从使用localhost转移到另一个域名(仍然是我机器的本地域名)。现在我得到如下错误。

不能加载URL:这个URL的域不包括在应用程序的 域。要加载此URL，请添加所有域和子域 在你的应用程序设置的应用程序域字段。

我的hosts文件包含127.0.0.1 domain.dev(完美工作)

我的重定向在我的应用程序(使用Socialite)是http://domain.dev/auth/facebook/callback

在我的Facebook应用程序设置…

我的应用域名是Domain .dev 我的网站网址是http://domain.dev/ 我的有效OAuth重定向uri是 http://domain.dev/auth/facebook/callback

出现错误消息时的URL是..

https://www.facebook.com/v2.5/dialog/oauth?client_id=XXXXXXXXXXXXXXX&redirect_uri=http%3A%2F%2Fdomain.dev%2Fauth%2Ffacebook%2Fcallback&scope=email&response_type=code&state=0ztcKhmWwFLtj72TWE8uOKTcf65JmePtG95MZLDD

我不知道问题出在哪里。

屏幕截图1

屏幕截图2

使用“隐式”流，客户端(可能是浏览器)将在资源所有者(即用户)授予访问权限后获得一个访问令牌。

然而，在“授权代码”流程中，客户端(通常是web服务器)只有在资源所有者(即用户)授予访问权限后才能获得授权代码。有了这个授权代码，客户端再一次调用API，将client_id和client_secret与授权代码一起传递，以获得访问令牌。这里都有详细的描述。

两个流都有完全相同的结果:一个访问令牌。然而，“隐式”流要简单得多。

问题是:当“隐式”流似乎工作得很好时，为什么要麻烦“授权代码”流呢?为什么不只是使用“隐式”的web服务器?

对于提供者和客户机来说，都需要做更多的工作。

我想用ASP构建一个基于rest的web服务。. NET Web API，第三方开发人员将使用它来访问我的应用程序的数据。

我读了很多关于OAuth的文章，它似乎是标准的，但是找到一个好的示例文档来解释它是如何工作的(这实际上是可以工作的!)似乎是非常困难的(特别是对于一个OAuth新手)。

是否有一个实际构建和工作的示例，并显示如何实现它?

我下载了大量的样本:

DotNetOAuth——从新手的角度来看，文档是没有希望的 Thinktecture -不能让它建立

我也看过一些博客，他们提出了一个简单的基于令牌的方案(就像这样)——这看起来像是在重新发明轮子，但它的优点是在概念上相当简单。

似乎在SO上有很多这样的问题，但没有好的答案。

大家都在这里做什么?

我有一个使用JWT的无状态身份验证模型的新SPA。我经常被要求引用OAuth进行身份验证流程，比如要求我为每个请求发送“承载令牌”，而不是简单的令牌头，但我确实认为OAuth比简单的基于JWT的身份验证要复杂得多。主要的区别是什么，我应该让JWT身份验证像OAuth一样吗?

我还使用JWT作为我的XSRF- token来防止XSRF，但我被要求将它们分开?我应该把它们分开吗?这里的任何帮助都将受到感谢，并可能为社区提供一套指导方针。

简单来说，有人能解释一下OAuth 2和OAuth 1之间的区别吗?

OAuth 1现在过时了吗?我们应该实现OAuth 2吗?我没有看到很多OAuth 2的实现;大多数人仍在使用OAuth 1，这让我怀疑OAuth 2是否可以使用。是吗?

我有一个HttpClient，我正在使用一个REST API。但是，我在设置授权标头时遇到了麻烦。我需要将标头设置为我从执行OAuth请求中接收到的令牌。 我看到了一些。net的代码，建议如下:

httpClient.DefaultRequestHeaders.Authorization = new Credential(OAuth.token);

然而，凭据类在WinRT中不存在。有人知道如何设置授权头吗?

OAuth 2.0协议草案的第4.2节指出，授权服务器可以返回access_token（用于通过资源验证自己）和refresh_token，refresh_taken纯粹用于创建新的access_token:

https://www.rfc-editor.org/rfc/rfc6749#section-4.2

为什么两者都有？为什么不让access_token和refresh_token一样长，而不设置refresh_taken？

我真的在试图理解OpenID和OAuth之间的区别?也许它们是完全不同的两件事?