Вы, вероятно, прочитали RFC, но на всякий случай вы можете начать с них:
- oAuth 2.0 "core" (RFC 6749 и 6750 )
- Пробный ключ для обмена кодами (PKCE) (RF C 7636 )
Лучшая упаковка «Руководство по реализации oAuth (клиент или иное) доступно через IETF Best Current Practices (BCP). Большинство людей знают о RFC IETF и (смущающе) BCP публикуются как RFC с номером RF C. Несмотря на это, это лучшие практики и не формальные спецификации :
Процесс BCP аналогичен таковому для предлагаемых стандартов. BCP передается в IESG для проверки, и применяется существующий процесс проверки, включая «последний звонок» в списке рассылки объявлений IETF. Однако, как только IESG утвердит документ, процесс заканчивается, и документ публикуется. Полученный документ рассматривается как имеющий техническое одобрение IETF, но это не так, и он не может стать официальным стандартом Inte rnet.
ППГ, которые вы хотите просмотреть:
- oAuth security (актуально на момент написания этой статьи)
- oAuth для браузерных приложений (актуально на момент написания данной статьи).
- oAuth для нативных приложений (опубликовано в 2017 году как обновление для «ядра» oAuth 2.0 RF C, все еще хорошее чтение)
- JSON Веб-токены для oAuth (в актуальном состоянии)
Эти документы оформлены в терминах модели угроз - они охватывают атаки (или "соображения безопасности" в качестве разбавленного формата) и контрмеры. Возможно, вы ищете более простой тип строительных блоков дорожной карты, и, возможно, он должен быть в качестве учебного пособия. Реальные реализации oAuth должны быть разработаны с использованием prima fa cie свидетельства модели угрозы.
Как сказал один самурай : ... фехтование, не проверенное в битва подобна искусству плавания, освоенному на суше.