Comprendo che OAUth 2.0 si basa solo su SSL per crittografare il contenuto del token bearer. Tuttavia, ci sono altre buone pratiche da seguire quando si protegge OAuth 2.0?
So che puoi usare un sacco di cose extra quando usi HMAC, come nonce, timestamp, ecc., ma ci sono altre best practice consigliate per la sicurezza sui messaggi OAuth 2.0 oltre all'uso di SSL?