0

我正在阅读有关刷新令牌的信息:https ://auth0.com/learn/refresh-tokens/ 。我正在自己构建一个身份验证服务器 (AS)。

要从电子邮件/密码身份验证中获取刷新令牌,客户端应用程序会发送 4 条信息:

  • 客户编号
  • 客户密码
  • 用户电子邮件
  • 用户密码

我的问题是:AS 如何将客户端 ID 和密码传递给客户端应用程序?

我的第一个想法:密码是预先随机生成并在每个客户端应用程序中硬编码的吗?那为什么需要客户端ID呢?

我的第二个想法:第一次启动的客户端应用程序点击 AS 获取其客户端 ID/密码,并使用这对获取所有未来的刷新令牌。但它并不安全,因为任何黑客都可以攻击同一个端点。

帮助表示赞赏。

4

0 回答 0