参考:https://tools.ietf.org/html/rfc6749 第二章
前言
在前文提到的authorization code授权许可模式下,client在拿到authorization code后需要向authorization server申请access token。在此过程中,为了安全,authorization server需要验证client的身份,同时client当然需要提交身份验证所需的信息。因此,在整个流程的第一步是client先要向authorization server注册,并生成相关的身份验证信息,这个就是client registration的含义。
当然,并不是所有的client都必需进行client registration,如前文提到的implicit授权许可模式,authorization server在resource owner的许可下直接向client返回access token,不会对client的身份进行认证,自然也就不需要client registration。这种情况典型的场景是client就是运行浏览器中的一段javascript,很难定义这段代码的身份。
OAuth 2.0 没有规定client向authorization server注册的具体实现方式,可以自由的通过各种方式实现authorization server对client的信任。比如,一种方法是client主动向authorization server注册自己并提供必需信息,另一种方法是authorization server给client签发身份证书或者有可信第三方的证书,还有一种方法是authorization server能通过某种安全的发现机制找到client并授予它认证信息。总之方