OAuth 2.0 - почему экран согласия не требует секретности клиента?

Question

Я учу OAuth 2.0.При использовании потока кода авторизации достаточно передать идентификатор клиента.Означает ли это, что теоретически злоумышленник может легко создать несколько кодов авторизации?

По какой причине на экране согласия не использовался секрет клиента?Это безопасно, поскольку сервер авторизации должен обеспечивать HTTPS-соединение.

Разве это просто для простоты, чтобы разрешить соединение на стороне клиента, как это?

<a href="https://koala-auth.com/authorize?client_id=abc123">Login with Koala Auth</a>

Answer 1

Нет, в соответствии с RFC-6749 разделом 1.3.1, пользователь аутентифицируется сервером авторизации перед тем, как код авторизации будет возвращен.Следовательно, идентификатор клиента - это не единственная часть данных, необходимая для получения кода авторизации.

Это не потому, что владелец ресурса перенаправляет агента пользователя на сервер авторизации, который этот сервер авторизации вернет.код авторизации: пользовательский агент должен выполнить шаг аутентификации с действительным пользователем, прежде чем код авторизации будет возвращен владельцу ресурса.