Bilmiyorum ben sadece biraz biraz kör nokta ya da ne, ama okudum OAuth 2 spec defalarca ve dikkatle inceledi posta listesi arşivlerinde, ve ben henüz bulmak için bir iyi bir açıklama neden Örtülü Hibe akışı elde etmek için erişim belirteçleri geliştirilmiştir. Yetki Kodu vermek için karşılaştırıldığında, sadece çok zorlayıcı hiçbir sebep için istemci kimlik doğrulaması vazgeçmek gibi görünüyor. Böyle "müşteri bir tarayıcı betik dili kullanarak uygulanan için optimize edilmiş" (özelliklerine alıntı)?

Hem akar (kaynak: http://tools.ietf.org/html/draft-ietf-oauth-v2-22) başlar:

1. İstemci kaynak sahibi yetkilendirme bitiş noktasına ajan kullanıcının yönlendirerek akışını başlatır.
2. Yetkilendirme sunucusu kaynak sahibi (user-agent) doğrular ve kaynak sahibi ya da müşterinin isteği erişim verir veya vermez olmadığını belirler.
3. Kaynak sahibi erişim verir varsayarsak, yetkilendirme sunucu istemci yeniden yönlendirme URI daha önce sağlanan kullanarak (istemci kayıt sırasında veya istek) için Kullanıcı Aracısı geri yönlendirir.
   • Yeniden yönlendirme URI bir yetki kodu (Authorization code akışı) içerir
   • Yeniden yönlendirme URI erişim URI parçası token (Örtülü akışı) içerir

Akar split yer burası. Her iki durumda da bu noktada yeniden yönlendirme URI bazı bitiş noktası istemci tarafından barındırılan

• Bu Yetki kodu akış, kullanıcı ajanı vurur son nokta ile Yetki kodu URİ, kod bu son nokta borsaları yetki kodu ile birlikte İstemci Kimlik erişim simgesi olabilir sonra kullanmak gerektiği gibi. Örneğin, sayfadaki bir komut dosyası erişebilecek bir web sayfasına yazmak.
• Bu İstemci Kimlik Doğrulaması atlar Örtülü akışını tamamen adım ve sadece istemci komut dosyası içeren bir web sayfasını yükler. İşte bir numaraydı burada URL parçası tutar erişim belirteci olmaktan çevresinde çok fazla, ama sonuç aslında aynıdır: müşteri barındırılan bir site kadar hizmet vermektedir sayfası ile bazı senaryoda bu yakala erişim simgesi.

Burada İstemci Kimlik Doğrulaması adımı atlayarak kazandı ne oldu? sorunumdan dolayı:

Burada benim düşünceleri vardır: Auth kod yetki kodu akış token amacı token ve müşteri sırrı asla sunucudan sunucuya Seyahat ediyorlar çünkü kaynak sahibi maruz kalacağı. Diğer taraftan, örtülü hibe akışını tamamen javascript kullanarak ve kaynak sahibinin tarayıcıda çalışan uygulayan müşteriler için. Bu akış kullanmak için herhangi bir sunucu tarafı kod gerekmez. Eğer her şey kaynak sahibinin tarayıcı içinde olursa o zaman bir anlamı yok token ve müşteri sırrı hala kaynak sahibi ile paylaşılacak çünkü auth Kodu ve müşteri sırrı daha fazla sorun olur. Auth kod ve client secret da dahil olmak üzere sadece akışını daha karmaşık gerçek güvenlik eklemeden yapar.

Cevap çok "ne kazanıldı?""". basitlik.