OAuth 2:authorization_code Grant-是否需要client_secret参数

这个问题很好，也是我对OAuth2.0最讨厌的事情之一——理解公共客户端的安全协议。

尽我所能回答您的问题：-

authorization_code授予类型是否需要client_secret？

否。如果客户端是公共客户端，则应允许它在不进行身份验证的情况下使用此授予类型(前提是它注册了重定向端点(。问题是，似乎有几个OAuth2.0服务器的实现不允许使用此授权类型的公共客户端。

如果建议使用client_secret而不是required，则有任何官方文档告诉我们clientsecret是建议？

您可能需要查看您使用的实际OAuth2.0提供程序的文档，而不是通用IETF规范，因为它们可能会指定RFC之外的公共客户端的规则。

6749 RFC几乎只是说Auth服务器应该处理公共客户端更不安全的事实，而没有给出如何处理的确切细节。

例如，第10.1节规定：

The authorization server must consider the security implications of
interacting with unauthenticated clients and take measures to limit
the potential exposure of other credentials (e.g., refresh tokens)
issued to such clients.