我的要求是
a。)客户注册Authorization Server并接收clientId和clientSecret
b。)应用程序需要保存它,因为这将为应用程序生成一次。
c。)应用通过提供AccessToken和clientId并clientSecret返回
accessToken
d。)然后,该应用重新使用accessToken访问Resource Server上的受保护资源
问题
a。)我应该在哪里安全保存clientId和clientSecret?
b。)每次应用启动时,它都会通过交换accessToken和clientId从服务器请求新的clientSecret。这种流动听起来不错吗?任何问题?