Autenticação de cliente no cliente público
Studing OAuth2.0 Eu finalmente encontrei estes 2 refs:
http://tools.ietf.org/html/rfc6749#section-2.3
http://tools.ietf.org/html/rfc6749#section-10.1
Corrija-me se eu estiver errado:
É possível usar clientes não registrados, mas você precisa gerenciá-los com riscos de segurança.
Como devo administrá-los?Algumas perguntas mais específicas:
A Aplicativo nativo (um cliente público, de fato) énão capaz de definição para armazenar com segurança suas credenciais (client_id + secret). É umcliente não registrado? Se eu não puder verificar / autenticar usando um segredo, o que mais devo fazer?registro de cliente = / = registro de ponto de extremidade: o primeiro é sobre o registro de Credenciais do Cliente (client_id + secret
); o segundo sobre o registroPontos de Extremidade de Redirecionamento do Cliente. O registro do Ponto de Extremidade de Redirecionamento é suficiente para garantir a autenticidade do Cliente?FazConcessão de Credencial do Cliente usa omesmo credenciais (client_id + secret
) para registro de cliente?Eu acho que você poderia me responder apenas explicando o direito wat este parágrafohttp://tools.ietf.org/html/rfc6749#section-10.1
Por favor, relate referências e exemplos práticos sobre como implementar:
[...] está além do escopo desta especificação.
obrigado