我对如何在OAuth2中的客户端应用程序中保护客户端ID和客户端密钥感到困惑。我发现一些文章建议实现位于客户端应用程序和OAuth2服务器之间的proxy-oauth。由于存在proxy-oauth,client-app不需要存储客户端ID和客户端密钥,而是会调用请求令牌到proxy-oauth然后proxy-oauth将调用请求令牌到真实的OAuth2服务器,使用存储在proxy-oauth中的客户端ID和客户端密钥。
我的问题是阻止其他人打电话请求令牌代理oauth?我的意思是,我如何确定请求真的来自我的客户端应用程序?