Ich habe eine Webanwendung, die OAuth 2.0 verwendet, um mit einem Dienst eines Drittanbieters zu sprechen. Ich möchte, dass sowohl mein Server als auch meine Webanwendung im Namen des Benutzers mit dem autorisierten Dienst kommunizieren. Ich gehe die normalen Autorisierungsschritte durch, um die Umleitung durchzuführen, den Auth-Code zu erhalten, ihn gegen den Zugriffstoken auszutauschen, all diesen Jazz. Sobald er fertig ist, hat mein Server das Zugriffstoken und kann mit dem Dienst sprechen. Allerdings möchte ich, dass die Web-App auch mit dem Dienst kommuniziert, damit ich nicht alles über meinen Server routen muss.Sind OAuth-Zugriffstoken vertraulich?
Kann ich das Access Token an die Web App senden, damit ich das erreichen kann? Oder soll das Zugriffstoken zwischen meinem Dienst und dem Dienst geheim gehalten werden, so dass es dem Benutzer niemals offengelegt wird, genauso wie das Client-Geheimnis?
Ich habe versucht, eine Antwort dafür in der Spezifikation und verschiedenen Blog-Posts zu finden, habe aber keine endgültige Antwort in beide Richtungen gefunden. Ich weiß, dass es eine implizite Authentifizierungsmethode für clientseitige Apps gibt, die überhaupt keine serverseitige Komponente enthalten. Daher ist meine anfängliche Vermutung, dass ich das Token an den Kunden senden kann. Ich würde das gerne überprüfen.