in RFC 6749 Il framework di autorizzazione di OAuth 2.0
2.3.1. Client Password afferma definitivamente che l'autenticazione a TokenEndpoint può essere eseguita in due modi alternativi
- Autenticazione di base HTTP - client_id: client_secret
- nel corpo della richiesta POST, client_id = {client_id}, client_secret = {client_secret}
Mentre Facebook API richiede una richiesta Get con parametri codificati URL:
GET https://graph.facebook.com/oauth/access_token?
client_id={app-id}
&redirect_uri={redirect-uri}
&client_secret={app-secret}
&code={code-parameter}
Non è questo (non conforme allo standard) l'esposizione delle password dei clienti nella logica di sicurezza di cancellazione degli URL di AUTH2. E aprendo le porte alle vulnerabilità?