tl; dr Это нарушение безопасности высокого уровня
Если вы следили за недавними событиями, такими как Нарушение Facebook , то мы говорим о возможности подобной угрозы,Вы просто приветствуете злоумышленников для получения токенов доступа, которые они могут использовать для чего угодно.Ваши конечные точки, защищенные токеном OAuth, теперь скомпрометированы.
RFC6819 - Модель угроз OAuth 2.0 и соображения безопасности в разделе Угроза: получение секретов клиента выделено ниже,
В результате будет получено следующее:
- Проверка подлинности клиента для доступа к серверу авторизации может быть обойдена.
- Можно воспроизвести украденные маркеры обновления или "коды" авторизации
Если вы сравниваете себя с общедоступным клиентом, который не хранит учетные данные клиента, специальный вектор атаки открывается через грант учетных данных клиента .Таким образом, даже если токен обновления или код авторизации безопасен, злоумышленник может использовать указанное разрешение для получения токенов доступа.Поэтому никогда не раскрывайте секрет клиента.