OAuth2 プロバイダーを実装するときにクライアントの資格情報を保存するためのベスト プラクティスは何ですか?
クライアントが新しいものを要求するたびに新しいものを発行することにした場合、access_token/refresh_token/auth_code を (パスワードのように) 塩漬けハッシュとして保存できます。しかし、client_secret の場合、アプリの登録ページで client_id と共に表示できるようにする必要があるため、ハッシュだけを保持することはできません。
ありがとう!レヴ
マシンで生成されたクライアント シークレットを使用することは、クライアント アプリケーションを認証する多くの手段の 1 つにすぎません。これがあなたのサービスで使用したいものだと思います。この場合、あなたはすでに質問に答えています。アプリケーション開発者にいつでも伝えることができる限り、秘密を平文で保存する必要があります。
これが受け入れられない場合は、別の解決策を選択することを検討してください。たとえば、パスワードの場合と同じように開発者に秘密を設定させ、平文を保存しないようにします。または、MACなどの秘密鍵と公開鍵のペア認証スキームを使用します。