Между токенами доступа, токенами обновления, областями, аудиториями и идентификаторами клиентов, я был смущен, когда документация Google OAuth дала указание мне проверить все токены для предотвращения запутанной депутатской проблемы. Статья в Википедии, связанная с, описывает только общую проблему на высоком уровне, не относящуюся к OAuth или даже сетевой аутентификации. Если я правильно ее понимаю, проверка маркера не является частью OAuth2, но на самом деле зависит от конкретной реализации. Итак, вот мой вопрос:
Как и почему выполняется проверка маркера Google OAuth?
Конкретный пример запутанной депутатской проблемы в этом контексте будет особенно ценен. Также обратите внимание, что я прошу об этом в контексте полностью клиентских приложений, если это имеет значение.