虽然隐式授权的设计是为了支持不能保护客户端机密的应用程序，包括客户端JavaScript应用程序，但一些提供商正在实现一种替代方案，使用没有客户端机密的授权代码。OAuth 2.0 IETF RFC-6749于2012年发布，目前的建议是2017年的一些最新讨论。

关于IETF OAuth邮件列表的2017年讨论可从以下实现者获得:

红帽:https://www.ietf.org/.../oauth/current/msg16966.html 德国电信:https://www.ietf.org/.../oauth/current/msg16968.html 智能健康IT: https://www.ietf.org/.../oauth/current/msg16967.html

点击此处阅读更多信息:

https://aaronparecki.com/oauth-2-simplified/ https://aaronparecki.com/oauth-2-simplified/#single-page-apps

Implicit was previously recommended for clients without a secret, but has been superseded by using the Authorization Code grant with no secret. ... Previously, it was recommended that browser-based apps use the "Implicit" flow, which returns an access token immediately and does not have a token exchange step. In the time since the spec was originally written, the industry best practice has changed to recommend that the authorization code flow be used without the client secret. This provides more opportunities to create a secure flow, such as using the state parameter. References: Redhat, Deutsche Telekom, Smart Health IT.

从隐式授权转移到没有客户端机密的认证代码也提到了这里的移动应用:

https://aaronparecki.com/oauth-2-simplified/#mobile-apps

隐式授权允许使用GET从授权端点获取令牌。这意味着授权服务器不必支持CORS。

如果这不是一个问题，并且没有其他与授权服务器不灵活相关的问题(例如，出于某种原因，刷新令牌不是可选的)，那么授权代码流是首选的，即使是对于公共客户端，根据最近的行业趋势和至少这个(当前)官方草案实例。

从历史上看，实现隐式流还有其他原因，但目前似乎它们被授权代码授予提供的安全优势所超越，包括:

为机密客户端通过反向通道交付和使用令牌的选项 没有在公共客户端的浏览器历史中公开令牌 在发布令牌之前中断未经授权的流-使用PKCE，用于“各种OAuth客户端”

以下是我的想法:

授权代码流中的认证代码+令牌的目的是令牌和客户端秘密永远不会暴露给资源所有者，因为它们在服务器到服务器之间传播。

另一方面，隐式授权流适用于完全使用javascript实现并在资源所有者的浏览器中运行的客户端。使用此流不需要任何服务器端代码。然后，如果所有事情都发生在资源所有者的浏览器中，那么发布认证代码和客户端秘密就没有意义了，因为令牌和客户端秘密仍然会与资源所有者共享。包含认证代码和客户端机密只会使流程更加复杂，而不会增加任何真正的安全性。

因此，关于“我们获得了什么?”的答案是“简单”。

我不确定我是否正确理解了答案和丹的评论。在我看来，这个答案已经陈述了一些正确的事实，但它确实指出了OP所问的问题。如果我理解正确的话，隐式授权流的主要优势是像JS应用程序这样的客户端(例如Chrome扩展)不需要暴露客户端秘密。

丹·塔夫林说:

.．.在授权代码流中，资源所有者永远不需要看到访问令牌，而在javascript客户端中，这是不可避免的。客户端秘密仍然可以从javascript客户端使用授权代码流，然而..

也许我误解了您的意思，但是客户端(在本例中是JS应用程序)必须在授权代码流中将客户端凭证(客户端密钥和秘密)传递给资源服务器，对吗?客户端机密不能“对JS保密”。

它可以归结为:如果用户正在运行一个基于浏览器或“公共”(JavaScript)的web应用程序，没有服务器端组件，那么用户隐含地信任该应用程序(以及它运行的浏览器，可能与其他基于浏览器的应用程序……)

没有第三方远程服务器，只有资源服务器。授权代码没有任何好处，因为除了浏览器之外，没有其他代理代表用户。出于同样的原因，客户端凭证没有任何好处。(任何客户端都可以尝试使用此流。)

然而，这对安全的影响是重大的。从https://www.rfc-editor.org/rfc/rfc6749 #节- 10.3:

当使用隐式授权类型时，访问令牌将在中传输 URI片段，这可能会将其暴露给未经授权的一方。

从https://www.rfc-editor.org/rfc/rfc6749 #节- 10.16:

资源所有者可以自愿将对资源的访问委托给 向攻击者的恶意客户端授予访问令牌。这可能 可能是因为网络钓鱼或其他借口…

除了其他答案，还必须认识到，隐式配置文件只允许一个前端通道流，而不是需要回调授权服务器的授权代码流;这在OpenID Connect(一种建立在Auth 2.0之上的SSO协议)中非常明显，其中隐式流类似于非常流行的SAML POST绑定，而授权代码流类似于不太广泛部署的SAML Artifact绑定