使用OAuth2资源所有者密码流时,不需要客户端ID和密码。因此,什么阻止另一个第三方应用程序简单地询问用户他们的用户名/密码组合并使用相同的流程?
答案 0 :(得分:0)
恕我直言,RFC 6749(OAuth 2.0)和RFC 6819(OAuth 2.0安全性)包含有关令牌端点上的客户端身份验证的轻微矛盾。我个人的结论如下。
授权服务器不应要求公共客户端将其客户端凭据发送到令牌端点,但实现不能不要求公共客户端发送其客户端ID,无论grant_type是什么(如果要求支持refresh_token)。
如果我必须为资源所有者密码凭据授权实现令牌端点,我将要求每个客户端发送其客户端ID,尽管规范不要求在令牌端点处对未发出客户端机密的公共客户端进行身份验证在资源所有者密码凭据授予中。