早上好,我们是欧洲的一家小公司,我们需要建立一些内部和外部使用的网络服务。我们决定对这些web服务实现一个身份验证,我虽然实现了Oath2身份验证。问题是以下(除了我一次只使用Oauth2标准这一事实),从服务提供商的角度来看,我并不真正理解“client_secret”的使用。 client_id不足以识别客户端吗?为什么client_secret需要完全正确,如何在应用程序的通用逻辑中实现?
感谢您的回复。
答案 0 :(得分:1)
您希望确保请求凭据的客户端是您认为的凭据,并且客户端ID用于用户可以看到的请求(在URL中)。没有客户机密,任何人都可以伪装成任何客户端应用程序来诱骗用户授予访问权限。