获取授权码的典型请求是:
https://authorization-server.com/auth?response_type=code&client_id=2935291598237423985&redirect_uri=https%3A%2F%2Fexample-app.com%2Fcallback&scope=create+delete&state=xcoiv98y2kd22vusuye3kch
该请求中没有用户身份信息。授权服务器(例如Google)如何知道需要哪个用户的权限才能向应用程序发出授权码(例如堆栈溢出)?
初始请求/重定向不包含用户身份信息。
代码流基于重定向。授权服务器将要求最终用户登录(或自动登录最终用户)。授权服务器和最终用户将交换多个请求以对最终用户进行身份验证。
登录授权服务器的用户是依赖方将收到的主题。
有关代码流程的更多信息,请参阅OAuth 2.0 RFC 。