gpt4 book ai didi

android - 谷歌如何检查刷新 token - 他们的 OAuth 2.0 的客户端绑定(bind)?

转载 作者:行者123 更新时间:2023-11-28 22:41:18 26 4
gpt4 key购买 nike

OAuth 2.0 协议(protocol)说

“只要可以验证客户端身份,授权服务器就必须验证刷新 token 和客户端身份之间的绑定(bind)。”

https://www.rfc-editor.org/rfc/rfc6749#section-10.4

我对他们如何检查 Android 和 IOS 应用程序的“刷新 token - 客户端绑定(bind)”感兴趣?他们如何知道请求来自生成刷新 token 的应用程序而不是其他某个应用程序(当出现刷新 token 以获得新的访问 token 时)?

您认为检查“刷新 token - 客户端”绑定(bind)的最佳方法是什么?

最佳答案

客户端在交换刷新 token 时必须在请求中包含 client_id 和 client_secret(参见 docs)。这对客户端进行身份验证,并允许服务器在发布访问 token 之前验证刷新 token 确实绑定(bind)到发出请求的客户端。

关于android - 谷歌如何检查刷新 token - 他们的 OAuth 2.0 的客户端绑定(bind)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14456487/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com