Почему секрет приложения требуется для продления срока действия токена?

Question

Мое понимание секретности приложения заключается в том, что оно должно храниться «в тайне».

Мне интересно, как я мог продлить срок службы токена, используя поток на стороне клиента, не встраивая секрет приложения в клиент?

Answer 1

Вы не можете, вы должны будете сделать это сторона сервера (возможно через прокси вызов)

Там должно быть несколько причин, чтобы иметь долгосрочный токен в коде клиента, если это Javascript, например, и я считаю, что iOS и Android SDK уже получают расширенные токены, когда они используют поток SSO.