在撰写本文时,我无法理解OAuth2规范的最新版本中的短语(http://tools.ietf.org/html/draft-ietf-oauth-v2-23)。我在section 2.1 about client types中看到了这一段:
The authorization server SHOULD NOT make assumptions about the client
type, nor accept the type information provided by the client
developer without first establishing trust.
在这种情况下,“建立信任”究竟是什么意思?根据规范,客户端类型是客户端必须在注册时提供的信息,后来影响授权流程,并且它是“机密”或“公开”。
答案 0 :(得分:0)
我解释
授权服务器不应该对客户端做出假设 输入,也不接受客户提供的类型信息 开发人员没有先建立信任。
表示建议客户端注册到服务器并在服务器对任何请求执行操作之前已向服务器进行了身份验证。如果您的服务器区分公共客户端和机密客户端之间的响应,它不应该信任客户端保证它是机密(或其他),直到它被服务器验证。