правильный поток oauth2 для настольного приложения? Помимо настольного приложения у меня есть веб-интерфейс SPA, который использует неявный поток. Там не имеет значения, перенаправляет ли клиент после 3600-х годов в IdP для выдачи нового токена доступа.

Но настольное приложение должно работать 24/7 или может работать 24/7. Поэтому необходимо автоматически обновить токен доступа через refresh_token. Но поскольку неявный поток не предоставляет токены обновления, это, вероятно, неправильный поток для настольного приложения, не так ли?

Я предполагаю, что мне нужен поток кода авторизации, который действительно предоставляет refresh_token. Но запросы аутентификации требуют redirect_uri. Допустим, я хочу использовать Google в качестве своего поставщика openid. С Google, похоже, я не могу зарегистрировать учетные данные клиента с помощью пользовательской схемы URI (https://developers.google.com/identity/protocols/OpenIDConnect). Что работает, чтобы зарегистрироваться, напримерHTTP: // локальный: 9300, который теоретически может быть обработан приложением.

A

Каков правильный поток oauth2 для настольного приложения, чтобы получить refresh_token?

B

Можно ли перехватить redirect_uri через пользовательскую схему URI без использования неявного потока (Google IdP)? Проще прослушать пользовательскую схему URI, чем прослушивать локальный порт TCP.

C

Это более общий вопрос. Обычно настольные приложения являются общедоступными, поэтому я не должен включать client_secret, верно? Таким образом, единственный поток, который останется, - это неявный поток. Но как я могу обновлять токены доступа в соответствии со спецификациями, не беспокоя пользователя настольного компьютера каждые 3600? В моем случае я мог бы опубликовать приложение локально, поэтому не публично, но как оно для публичного приложения?