望着的oauth2规范,它说在section 6:客户端绑定访问令牌
... the refresh token is bound to the client to which it was issued.
但是,我找不到在什么规格的明确规定,标记应绑定到请求的客户端也。我认为这是事实,Introspection Extension似乎支持这一假设,但我想知道这是否正确。
举个例子,假设我使用两个使用Google作为Oauth2授权服务器的应用程序。我假设Google会发布两个不同的令牌,每个应用都有一个令牌,并且令牌只能由发给它们的客户端使用,因为它们绑定到该客户端。