Se un cellulare è autorizzato contro il mio server utilizzando PKCE, che gli consente di ottenere un access_token
e un refresh_token
, in che misura devo fidarmi che l'app possa usare refresh_token
da ora in poi ottenere il access_token
? Sicuramente le stesse preoccupazioni che hanno portato lo standard per inventare PKCE sono in gioco qui?
Ti sto chiedendo perché mentre stavo giocando con una libreria Ruby per Auth2, ho scoperto che questo è OK da fare, il che mi ha perplesso. Questo caso d'uso non dovrebbe semplicemente vietare refresh_tokens?
EDIT: Non sono sicuro se questa sarà la risposta, ma forse assumiamo che (dato una connessione TLS), il refresh_token sia stato rinviato all'app in modo sicuro e finché l'app sta parlando al server direttamente siamo bravi?