RFC 6749 第 2.3 節：OAuth 2.0 客戶端驗證

rfc-editor.org/rfc/rfc6749#section-2.3

機密客戶端會在向 OAuth 授權伺服器提出要求時進行驗證。

核心 OAuth 2.0 規範定義「客戶端密碼」（例如客戶端機密）客戶端驗證類型，其中定義了 client_secret 參數以及將客戶端機密包含在 HTTP Authorization 標頭中的方法。

這些是最常見的客戶端驗證方式。

• 客戶端機密（RFC 6749 第 2.3.1 節）
• 相互 TLS（RFC 8705）
• 私人金鑰 JWT（RFC 7521、RFC 7523、OpenID）

注意：PKCE 不是客戶端驗證的一種形式，也不是客戶端驗證的替代方案。使用客戶端驗證的應用程式也應使用 PKCE。

更多資源

• 客戶端資格（oauth.com）
• 客戶端驗證方法（developer.okta.com）