Da RFC 6749 (sezione 10.4):
The authorization server MUST ensure that refresh tokens cannot be generated, modified, or guessed to produce valid refresh tokens by unauthorized parties.
Non capisco perché sia necessario poiché quando il cliente vuole ottenere un token di accesso utilizzando il tipo di sovvenzione refresh_token
, DEVE inviare un ID client e una chiave segreta nel corpo della richiesta, altrimenti la richiesta è negato dal server di autorizzazione. La parte non autorizzata dovrebbe in qualche modo acquisire l'ID cliente e la chiave segreta.