我目前正在学习OAuth 2协议,并且我已经读过,如果你不能保密,你就不应该使用客户端秘密。因为您正在使用它来访问令牌端点。
但是在SPA和移动应用程序中,您无法保持client_secret的秘密。因此,建议您仅使用client_id访问令牌端点。
所以我想知道如果将client_id和client_secret都公开,或仅使用client_id来访问令牌端点之间是否存在实际差异?
这是一个相当普遍而不是直截了当的问题,因为依赖于具体实现的安全性总是存在许多方面。
作为“指南”,请参阅:http://ldapwiki.com/wiki/Grant%20Types#section-Grant+Types-WhichGrantTypesToUse