0

OAuth 2.0 プロトコルによると

「認可サーバーは、クライアント ID を認証できるときはいつでも、リフレッシュ トークンとクライアント ID の間のバインディングを検証する必要があります。」

https://www.rfc-editor.org/rfc/rfc6749#section-10.4

Android および IOS アプリの「リフレッシュ トークン - クライアント バインディング」をチェックする方法に興味がありますか? 他のアプリではなく、更新トークンを生成したアプリからリクエストが送信されたことをどうやって知るのでしょうか (これは、新しいアクセス トークンを取得するために更新トークンが提示された場合です)。

「リフレッシュトークン - クライアント」バインディングをチェックする最良の方法は何だと思いますか?

4

1 に答える 1

2

クライアントは、更新トークンを交換するときに、リクエストに client_id と client_secret を含める必要があります ( docsを参照)。これにより、クライアントが認証され、サーバーは、アクセス トークンを発行する前に、要求を行っているクライアントに更新トークンが実際にバインドされていることを確認できます。

于 2013-01-23T21:50:13.493 に答える