Я настраиваю новое мобильное приложение и службу аутентификации, которые поддерживают OAuth.Проблема в том, что приложение должно использоваться только на 1 устройстве одновременно.
Например, это как Spotify - вы можете воспроизводить музыку только на 1 устройстве одновременно.
Я видел эту документацию для потока устройств OAuth в: https://www.oauth.com/oauth2-servers/device-flow/. Ноон предназначен для устройств без браузера или с простым способом ввода текста.
Так что я думаю создать параметр запроса следующим образом:
https://authorization-server.com/auth?response_type=code
&client_id=29352735982374239857
&redirect_uri=https://example-app.com/callback
&device_code=NGU5OWFiNjQ5YmQwNGY3YTdmZTEyNzQ3YzQ1YSA
&scope=create+delete
device_id может быть включен в полезную нагрузку токена (я использую JWT).И сервер ресурсов может проверить устройство, доступное для каждого пользователя, до обработки запроса.
Как стандартный поток соответствует этому требованию?Может ли эта проверка устройства быть реализована при аутентификации токена путем его внедрения в полезную нагрузку?Или клиент должен включать device_id при каждом запросе к серверу ресурсов?