Проверка подлинности клиента на общедоступном клиенте
Изучая OAuth2.0, я наконец нашел эти 2 ссылки:
http://tools.ietf.org/html/rfc6749#section-2.3
http://tools.ietf.org/html/rfc6749#section-10.1
Поправьте меня если я ошибаюсь:
Можно использовать незарегистрированных клиентов, но вы должны сами управлять ими с угрозами безопасности.
Как я должен управлять ими?Некоторые более конкретные вопросы:
A Нативное приложение (действительно публичный клиент) являетсяне в состоянии определения безопасно хранить свои учетные данные (client_id + secret). Этонезарегистрированный клиент? Если я не могу подтвердить / подтвердить подлинность с использованием секрета, что еще мне делать?регистрация клиента = / = регистрация конечной точки: первое касается регистрации учетных данных клиента (client_id + secret
); второе о регистрацииКонечные точки перенаправления клиентов, Достаточно ли регистрации конечной точки перенаправления для обеспечения подлинности Клиента?Есть лиГрант клиента используеттакой же учетные данные (client_id + secret
) для регистрации клиента?Я думаю, что вы могли бы ответить мне, просто объясняя правильный пункт в этом пунктеhttp://tools.ietf.org/html/rfc6749#section-10.1
Пожалуйста, сообщите ссылки и практические примеры о том, как реализовать:
[...] это выходит за рамки этой спецификации.
Спасибо