我正在阅读有关刷新令牌的信息:https ://auth0.com/learn/refresh-tokens/ 。我正在自己构建一个身份验证服务器 (AS)。
要从电子邮件/密码身份验证中获取刷新令牌,客户端应用程序会发送 4 条信息:
- 客户编号
- 客户密码
- 用户电子邮件
- 用户密码
我的问题是:AS 如何将客户端 ID 和密码传递给客户端应用程序?
我的第一个想法:密码是预先随机生成并在每个客户端应用程序中硬编码的吗?那为什么需要客户端ID呢?
我的第二个想法:第一次启动的客户端应用程序点击 AS 获取其客户端 ID/密码,并使用这对获取所有未来的刷新令牌。但它并不安全,因为任何黑客都可以攻击同一个端点。
帮助表示赞赏。