Oauth 2.0 访问公共应用程序

你对公共应用程序的访问有什么看法？ 我查阅了该标准，没有发现明确的迹象表明离线访问公共应用程序是一个大的安全问题

我认为这是因为公共应用程序无法安全地保存其密码，更不用说刷新令牌了。同时，我看到很多使用刷新令牌流的浏览器应用程序示例，因此这可能是一种常见的策略，以防止用户重定向到身份提供商

我的目标是找到一种使用AJAX获取另一个access_令牌的正确方法，这样用户就不会刷新页面或重定向到身份提供者

谢谢， George

根据，刷新令牌的发布由授权服务器决定，其他gran类型由授权服务器决定

通过提到授权服务器

必须忽略脱机访问请求，限制性更强，除非客户端使用的响应类型值会导致返回授权代码

无论如何，这些规范允许为公共客户机发布刷新令牌，前提是

已识别，对策可能是（非详尽清单）：


安全刷新令牌存储（加密文件夹/磁盘）
锁定以防止未经授权的设备/应用程序访问
撤销访问令牌/刷新令牌的可能性
resfresh代币的轮换
将刷新令牌请求与设备标识相结合
感谢您的澄清！