标签: oauth oauth-2.0 google-oauth2
Google's OAuth2 for Desktop Client Documentation说:
与Web客户端不同,OAuth 2.0客户端密钥(如果使用)被认为不是保密的。
这是有道理的。但是,我无法分辨出反映这一假设的两种流程之间存在任何差异:两种流程都会产生访问令牌和刷新令牌(即使标准的OAuth2理念似乎是您不应该将刷新令牌分发给非机密客户端,您应该使用隐式授权流程)。
然后两种流量之间的安全性差异是什么?
(更新:即使用户已经同意,也许后者总是会提示同意?)