Recentemente ho iniziato a lavorare con il flusso di autenticazione OAuth2. Nel suo utilizzo, vedo che nel flusso authcode, il client consente a AuthServer di autenticare un utente e quindi restituisce un codice di autenticazione al client, che il client scambierà per un token.
Il codice di autenticazione può essere piccolo: un minimo di 10 cifre esadecimali. È davvero sicuro? Se un client malintenzionato era in grado di sottrarre credenziali legittime ai client, non poteva fare un attacco di impersonificazione semplicemente con la forza bruta tentando molti codici di autenticazione fino a quando non ne trovava uno che funzionava? Si tratta di una debolezza nel flusso dell'autenticazione Oauth2?
O la lunghezza del codice di autenticazione è un dettaglio di implementazione lasciato al server di autenticazione?