OAuth 2.0协议说
“只要可以验证客户端身份,授权服务器就必须验证刷新令牌和客户端身份之间的绑定。”
http://tools.ietf.org/html/rfc6749#section-10.4
我对他们如何检查Android和IOS应用的“刷新令牌 - 客户端绑定”感兴趣?他们如何知道请求来自生成刷新令牌的应用程序而不是其他应用程序(当提供刷新令牌以获取新的访问令牌时)?
您认为检查“刷新令牌 - 客户端”绑定的最佳方法是什么?
答案 0 :(得分:2)
客户端在交换刷新令牌时必须在请求中包含client_id和client_secret(请参阅docs)。这会对客户端进行身份验证,并允许服务器在发出访问令牌之前验证刷新令牌是否确实绑定到发出请求的客户端。