Согласно RFC6750 - Рамки авторизации OAuth 2.0: использование токена-носителя, токен-носитель:
Маркер безопасности с тем свойством, что любая сторона, владеющая маркером ( "предъявитель" ), может использовать маркер любым способом, которым может обладать любая другая сторона.
Для меня это определение неопределенно и я не могу найти никакой спецификации.
- Предположим, что я внедряю поставщика авторизации, могу ли я указать любую строку для токена-носителя?
- Может быть, это случайная строка?
- Должна ли быть кодировка base64 некоторых атрибутов? Следует ли хешировать?
- А поставщик услуг должен запросить поставщика авторизации для проверки этого токена?
Спасибо за любой указатель.