看了阮一峰老師的教程后對(duì)照著自己寫(xiě)了個(gè)認(rèn)證服務(wù)器，現(xiàn)在流程基本走通，但是在“客戶端拿著授權(quán)碼向服務(wù)器申請(qǐng)令牌”這一步有如下幾個(gè)疑問(wèn)：

首先，教程給出的請(qǐng)求示例是：

POST /token HTTP/1.1
Host: server.example.com
Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb

問(wèn)題一：
頭部Authorization： Basic后面跟的是不是應(yīng)該是加密的cliect_id+slient_secret呢？
認(rèn)證服務(wù)器接收到請(qǐng)求后解析Authorization，根據(jù)Basic之后的信息去驗(yàn)證客戶端的合法性。

問(wèn)題二：
頭部Content-Type是否能夠設(shè)置成applicaction/json呢，我搜了一下資料說(shuō)是‘a(chǎn)pplication/x-www-form-urlencoded’這種類型一般是用于form表單提交，我在這里沒(méi)有用form表單是不是可以改成application/json呢？

問(wèn)題三：
token生成后直接response.send()返回就可以嗎，還是說(shuō)保存到session或者別的什么地方返回給客戶端比較好呢？

（目前code和token的生成方法都是用的Crypto包隨機(jī)生成的字符串并哈希，不知道有沒(méi)有什么別的方式可以優(yōu)化，比如生成的token里面帶上相關(guān)的信息之類的）