[英]Are Client Credentials optional in the oAuth2 Resource Owner Password Credentials Grant flow?
RFC 6749的4.3.2 (描述了oauth2授权框架的“资源所有者密码凭证授权流程”)指出:
如果客户端类型是机密或客户端是客户端发出的
凭证(或指定的其他身份验证要求),
客户端必须按照描述使用授权服务器进行身份验证
在第3.2.1节中。
似乎无法找到“机密客户”是什么的参考。 由此看来,允许非机密客户参与“资源所有者密码凭证授权流程”(4.3)。 即不会(也不能)使用授权服务器对自己进行身份验证的客户端。
它是否正确?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.