对于Web服务器应用程序,Google表示要使用应用程序类型“Web应用程序” - 请参阅:
https://developers.google.com/identity/protocols/OAuth2WebServer
但是从测试来看,这似乎允许最终用户将用户发送到的URL中的response_type从“代码”更改为“令牌”,然后允许他们在结束时直接获取访问令牌。认证流程。
其他一些API提供商在OAuth应用程序的设置屏幕中提供了一种机制,可以完全禁用此身份验证流程,这似乎是合理的。
我在这里错过了什么吗?