OAuth 2.0 协议说
“只要可以对客户端身份进行身份验证,授权服务器必须验证刷新令牌和客户端身份之间的绑定。”
https://www.rfc-editor.org/rfc/rfc6749#section-10.4
我对他们如何检查 Android 和 IOS 应用程序的“刷新令牌 - 客户端绑定”感兴趣?他们怎么知道请求来自生成刷新令牌的应用程序,而不是其他应用程序(当出现刷新令牌以获取新的访问令牌时)?
您认为检查“刷新令牌-客户端”绑定的最佳方法是什么?
问问题
820 次
1 回答
2
客户端在交换刷新令牌时必须在请求中包含 client_id 和 client_secret(请参阅docs)。这将对客户端进行身份验证,并允许服务器在发出访问令牌之前验证刷新令牌确实绑定到发出请求的客户端。
于 2013-01-23T21:50:13.493 回答