0
Протокол OAuth 2.0 говоритКак проверить токен проверки google - привязка клиента для OAuth 2.0?
«Сервер авторизации ДОЛЖЕН проверить привязку между токеном обновления и идентификатором клиента, когда идентификатор клиента может быть аутентифицирован».
http://tools.ietf.org/html/rfc6749#section-10.4
Меня интересует, как они проверяют «токен обновления - клиент привязки» для Android и IOS приложений? Как они узнают, что запрос пришел из приложения, которое создало токен обновления, а не какое-то другое приложение (это, когда токен обновления отображается для получения нового токена доступа)?
Как вы думаете, что лучше всего проверить привязку «refresh token-client»?
Да, это правда ... но если кто-то может украсть токен обновления, я уверен, что он также может украсть client_id и client_secret. Я думаю, что если вы используете Android OAuth SDK от Google, они будут включать подпись приложения и проверить его на сервере (приложение должно быть подписано, прежде чем сделать его доступным в магазине) –