我正在通过oAuth 2.0创建一个使用密码身份验证类型的移动应用。我需要发送四条信息才能获得访问令牌:
我的请求看起来像这样:
curl https://myapi.com --request POST --data 'grant_type=password&username=me@gmail.com&password=12345&client_id=123456&client_secret=!1@2#3$4%5^' --header "Content-Type: application/x-www-form-urlencoded"
我觉得将客户端保密在移动设备上是不安全的,但我不知道应该把它放在哪里。同时,不会在手机上暴露客户端密钥使其像隐式授权类型一样安全 - 不够安全但足够安全。我应该把客户的秘密放在哪里?
由于