因此,我已经进行了研究并通读了规格。客户端凭据流适用于机密客户端,即可以保护客户端机密安全的客户端。
我听说公共客户端的意见未在oauth2.0中进行认证。
但是我相信这是在没有用户身份验证方法的SPA或应用程序上进行客户端身份验证时遇到的常见问题。同样,在零信任架构中,内部网络被认为是易损的。我们可能需要更好的动态或加密机密。
是否可以在oauth2.0规范之内或之外实现此目的?
我们可以使用PKCE并通过后端通道对code_verifier和code_challenge进行两阶段身份验证吗?
我们可以加密client_secret并通过密钥管理(具有零信任体系结构的机密客户端)共享公共密钥吗?