什么阻止了以下情况:
在使用公共客户端(没有client_secret)时,有没有办法真正验证发出授权请求的应用程序的身份?
答案 0 :(得分:0)
OAuth 2.0安全注意事项规范承认:https://tools.ietf.org/html/rfc6819#section-5.5没有针对该威胁的包容性保护。它承认用户在这里发挥着重要作用。但有些评论:
通过移动设备管理的应用程序安装控制可能适用于某些(企业)用例以缓解此问题。
动态客户端注册(http://openid.net/specs/openid-connect-registration-1_0.html)可用于生成每个实例的客户端密钥,以便在注册后客户端是机密客户端。然而,应用程序完整性问题仍然存在(仅)在初始引导/注册阶段。