我正在阅读有关刷新令牌的信息:https://auth0.com/learn/refresh-tokens/。我自己正在构建一个身份验证服务器(AS)。
要从电子邮件/密码身份验证中获取刷新令牌,客户端应用程序会发送4条信息:
我的问题是:AS如何将客户端ID和密码传递给客户端应用程序?
我的第一个想法是:在每个客户端应用程序中预先随机生成并硬编码的密码?那么为什么需要客户端ID?
我的第二个想法:第一次启动时的客户端应用程序命中AS获取其客户端ID /密码,并使用此对获取所有未来的刷新令牌。但它并不安全,因为任何黑客都可以击中同一个端点。
帮助表示感谢。