Come ho capito, OAuth a gamba zero è il luogo in cui i token / i codici segreti normalmente temporanei vengono decisi in anticipo e sono fatti per non scadere, quindi non è necessario alcun passo di autenticazione prima di effettuare richieste "effettive" dell'API REST backend . Per me, questo sembra andare contro lo standard. Ho ragione nel pensarlo?
L'autenticazione non è in pratica diversa: lo stesso segreto viene utilizzato come in altri flussi dal cliente per creare una firma o altrimenti fornire la prova del possesso del segreto.
La differenza è dal lato dei fornitori di servizi. Ogni endpoint del provider di servizi che partecipa a auth a zero zampe deve sapere come accedere alla forma del provider del segreto del client, per poter convalidare direttamente le richieste firmate con il segreto.
Questa è un'architettura meno capace, più monolitica e potenzialmente meno sicura, meno sicura a causa della necessità di distribuire l'effettivo segreto condiviso, piuttosto che un token ad uso limitato.
Leggi altre domande sui tag oauth