Изучая OAuth2.0, я наконец нашел эти 2 ссылки: RFC6749 раздел 2.3, RFC6749 раздел 10.1
Поправьте меня если я ошибаюсь:
Можно использовать незарегистрированных клиентов, но вы должны сами управлять ими с угрозами безопасности.
- Как я должен управлять ими?
Некоторые более конкретные вопросы:
- Собственное приложение (на самом деле Public Client) не может по определению безопасно хранить свои учетные данные (client_id + secret). Это незарегистрированный клиент? Если я не могу подтвердить/подтвердить подлинность с использованием секрета, что еще мне делать?
- регистрация клиента registration регистрация конечной точки: первое касается регистрации учетных данных клиента (
client_id + secret
); второе о регистрации клиентских конечных точек перенаправления. Достаточно ли регистрации конечной точки перенаправления для обеспечения подлинности Клиента? - Использует ли Client Credential Grant те же учетные данные (
client_id + secret
) для регистрации клиента?
Я думаю, что вы могли бы ответить мне, объяснив, что означает этот параграф (раздел 10.1 RFC6749).
Пожалуйста, дайте мне несколько ссылок и практических примеров о том, как реализовать взаимодействие между сервером авторизации и сервером ресурсов.
Спасибо