Clientauthentifizierung auf dem öffentlichen Client
Beim Studing von OAuth2.0 habe ich endlich diese 2 Refs gefunden:
http://tools.ietf.org/html/rfc6749#section-2.3
http://tools.ietf.org/html/rfc6749#section-10.1
Korrigiere mich, wenn ich falsch liege:
Es ist möglich, nicht registrierte Clients zu verwenden, aber Sie müssen diese mit Sicherheitsrisiken selbst verwalten.
Wie soll ich damit umgehen?Einige spezifischere Fragen:
A Native Application (in der Tat ein öffentlicher Kunde) istnicht Definition in der Lage, seine Anmeldeinformationen (client_id + secret) sicher zu speichern. Ist es einenicht registrierter Client? Was kann ich noch tun, wenn ich es nicht mit einem Geheimnis überprüfen / authentifizieren kann?Clientregistrierung = / = Endpunktregistrierung: Bei der ersten handelt es sich um die Registrierung von Clientanmeldeinformationen (client_id + secret
); der zweite über die RegistrierungClient-Umleitungsendpunkte. Reicht die Registrierung des Umleitungsendpunkts aus, um die Authentizität des Clients zu gewährleisten?TutClient Credential Grant verwendet diegleich Referenzen (client_id + secret
) für die Kundenregistrierung?Ich denke, Sie könnten mir antworten, indem Sie mir den richtigen Punkt erklärenhttp://tools.ietf.org/html/rfc6749#section-10.1
Bitte geben Sie Referenzen und praktische Beispiele an, wie Sie Folgendes implementieren:
[...] es geht über den Rahmen dieser Spezifikation hinaus.
Vielen Dank