OAuth 2.0: client_id и client_secret будут отправляться только при первоначальном запросе на авторизацию?

Question

Должен ли клиент OAuth 2.0 отправлять свои client_id и client_secret только при первом запросе авторизации? Или при каждом запросе он отправляет на сервер авторизации / ресурсов? Заранее спасибо!

@ Edit 1: мы пытаемся реализовать поток 'Credentials Password Resource Owner'.

@ Edit 2: Я полагаю, что вам не нужно отправлять его послеполучил токен доступа. Причина, когда у вас уже есть токен доступа, клиент отправляет свой запрос непосредственно на сервер ресурсов. Но если вам требуется обновить токен и запросить его с Сервера авторизации, то вам необходимо отправить client_id и client_secret. Или я ошибаюсь?

Answer 1

Все зависит от того, что вы хотите сделать с oauth (поток, который вы используете).

Вы должны обратиться к потокам, описанным здесь: https://tools.ietf.org/html/rfc6749

client_id требуется, когдавы перенаправляете на конечную точку авторизации сервера авторизации. Секрет используется при обмене кодом авторизации с сервером авторизации. Затем вы должны отправлять свой токен доступа при каждом запросе вашего клиента с вашего сервера ресурсов (api), используя заголовок «авторизация»