Ho esaminato alcuni documenti relativi a OAuth2 di flussi di autorizzazione riservati e non riservati, ovvero questo e RFC .
Da quanto ho capito, il flusso non confidenziale non richiede client_secret , o meglio ancora, in realtà non dovresti usare client_secret perché stai assumendo qualcuno puoi prenderne possesso insieme a client_id , rendendo così più semplice la posa come app client.
Quindi per implementare il flusso non confidenziale, il client deve prima lavorare con client_id emesso dal server e uno stato generato dal client. Quindi il client dovrebbe utilizzare un codice restituito dal server e lo stesso valore stato . redirect_uri deve anche essere registrato con il server.
AFAIK (per quanto ne so) è ciò che distingue il confidenziale dal flusso non confidenziale: il flusso confidenziale richiede client_secret mentre il non confidenziale non lo fa. Inoltre, questo è ciò che definisce il flusso non confidenziale, la mancanza di un client_secret . Sono corretto assumendo questo?
La sezione 2.3 non sembra essere specifica a riguardo.
Q correlata, da Sezione 4.1.3 :
If the client type is confidential or the client was issued client credentials (or assigned other authentication requirements), the client MUST authenticate with the authorization server as described in Section 3.2.1.
Che cosa si trova esattamente sotto " altri requisiti di autenticazione "? Non è questo un cliente che deve essere autorizzato?