我有一个使用OAuth 2.0与第三方服务交流的Web应用程序。我希望我的服务器和我的网络应用程序代表用户与授权服务通话。我会按照正常的授权步骤进行重定向,获取授权码,并将其交换为访问令牌以及所有爵士乐。完成后,我的服务器具有访问令牌并可以与服务通话。不过,我希望网络应用程序也可以与服务通话,所以我不必通过我的服务器路由所有内容。OAuth访问令牌是否保密?
我可以将访问令牌发送到Web应用程序,以便我可以实现此目的吗?或者,访问令牌是否应该在我的服务和服务之间保密,绝不会向用户披露,就像客户端的秘密一样?
我试着在规范和各种博客文章中找到这个答案,但没有找到明确的答案。我知道对于客户端应用程序隐含的auth方法根本不涉及服务器端组件。因此,我最初的猜测是我可以将令牌发送给客户端。我想验证这一点,但。