因此,在Oauth2中,如果您想进行隐式授予,那么使用客户端ID有什么意义?我的意思是,客户端ID和客户端机密可以防止数据和配额被盗,但通过从授权URL中窃取某人的客户端ID,您可以简单地运行应用程序,同时假装是其他人。
授权服务器始终需要接收客户端id,以便查找特定于客户端的设置,其中可能包括令牌生存期以及应用程序允许的范围。
令牌仅在您拥有的HTTPS url上返回,因此只有您才能获得该客户端id:的令牌
- https://my company.com/myapp
有趣的是,当重定向URI不是https url时,您提出的问题可能是一个风险,桌面和移动应用程序可能就是这样。