J'ai une application web qui utilise OAuth 2.0 pour parler à un service tiers. Je veux que mon serveur et mon application Web parlent au service autorisé au nom de l'utilisateur. Je passe par les étapes normales d'autorisation de faire la redirection, obtenir le code d'autorisation, l'échanger contre le jeton d'accès, tout ce jazz. Une fois terminé, mon serveur a le jeton d'accès et peut parler au service. Cependant, j'aimerais que l'application web parle aussi au service, donc je n'ai pas besoin de tout router via mon serveur. Puis-je envoyer le jeton d'accès à l'application Web pour que je puisse y parvenir? Ou, le jeton d'accès est-il censé être gardé confidentiel entre mon service et le service, ne jamais être divulgué à l'utilisateur, juste comme le secret du client est?Les jetons d'accès OAuth sont-ils confidentiels?
J'ai essayé de trouver une réponse pour cela dans les articles de blog de spec et divers, mais je n'ai pas trouvé de réponse définitive de toute façon. Je sais qu'il existe une méthode d'autorisation implicite pour les applications côté client qui n'implique aucun composant côté serveur. Par conséquent, ma supposition initiale est que je peux envoyer le jeton au client. Je voudrais vérifier cela bien.