Perché dovrei includere un client_id in una richiesta di concessione di password OAUTHv2?

1

Come cappuccetto rosso, non sai chi sta bussando alla porta ... Perché preoccuparsi di accettare un client_id in caso di API < - > Javascript-sito web o API < - > La password dell'app Android consente il flusso di autenticazione?

    
posta Pepster 03.03.2015 - 23:40
fonte

1 risposta

1

Da RFC 6749 (enfasi mia):

A client MAY use the "client_id" request parameter to identify itself when sending requests to the token endpoint. In the "authorization_code" "grant_type" request to the token endpoint, an unauthenticated client MUST send its "client_id" to prevent itself from inadvertently accepting a code intended for a client with a different "client_id". This protects the client from substitution of the authentication code. (It provides no additional security for the protected resource.)

    
risposta data 04.03.2015 - 11:12
fonte

Leggi altre domande sui tag