我知道OAuth不应该用于身份验证,但通常用于此目的 . 我试图了解这与以下攻击情形(令牌收件人混淆)有何关联:
1)恶意客户端连接到诚实的资源所有者;恶意客户端连接到另一个客户端并模拟该客户端的资源所有者
2)恶意资源所有者获得资源所有者被允许访问的客户端的令牌,而不是使用该令牌在客户端授权他不允许访问 .
oAuth 2是否可以防范这些情况?在任一情况下,如果使用授权代码授权流程或隐式授权流程,这是否重要?
当然,OpenID connect确实可以防御这两种攻击情形,但我现在想知道基本的OAuth 2.0 .