2. Client Registration說:的OAuth2客戶和資助
當註冊客戶端,客戶端開發者應:
Ø指定客戶端類型
但沒有規定如何定義可用許可類型。
我不明白如何爲client定義可用grants。客戶可以使用所有補助金,多個補助金或只有一個補助金。
2.1. Client Types規範部分限定confidential(web應用)和public(基於用戶代理應用&本地應用程序)的客戶端類型。 Public客戶端無法保證任何客戶端的認證證書,所以對於這樣的客戶必須是可用的只有implicit授予或可能授予password爲resource owner信任的客戶端?但我沒有發現這種限制。
哪些補助,提供給客戶端是由認證服務器進行部署的決定。原則上(按規範),客戶端可以使用哪些授權類型沒有限制。工作的一個典型方式是,授權服務器的管理員註冊一個客戶端,然後分配可用它授權的類型。正如你所建議的那樣,這可能只是一筆贈款,幾筆贈款或全部(根據客戶機密的可用性,請參見下文)。
通過定義中的隱式許可可以僅通過公共客戶端使用,因爲沒有選擇認證自身作爲協議流的一部分。然而,其他的補助可以提供給公共客戶,以及客戶機密,因爲他們可以用或不用客戶端機密被用來和指出,上述這將是一個部署的決定,確定哪些客戶可以使用哪些授予。
作爲後者的一個示例:授權碼授權爲除了其可用性機密客戶端公共客戶機完全可用。公共客戶端將以常規方式接收授權代碼,並將其呈現給令牌端點,而不會將其自身視爲機密客戶端會執行的操作。因爲它不會提供超過隱授予任何明確的安全利益又確實需要一個額外的往返到認證服務器它沒有被廣泛部署,但它肯定是不禁止的。
資源所有者密碼憑證授權是可以由兩個客戶端保密以及公共客戶機中使用的授權的另一個例子。客戶端不會對令牌端點進行身份驗證,而只是通過資源所有者密碼來獲取訪問令牌。