OAuth изясни
От няколко дни разбирам протокола OAuth и един момент не може да ми попадне в главата:
Да предположим, че имам услуга с REST API и OAuth сървър. Създавам десктоп (или мобилно) приложение, регистрирам го с OAuth сървър и получавам app_id и app_secret, които генерира, които след това използвам, за да получа маркера. Да предположим, че моето приложение ще изпраща веднъж на минута дневник на работата до услугата (използвайки метода POST) и трябва да работи 24/7 без човешка намеса, което означава, че имам нужда от неограничен жетон. След това получавам жетон и започвам работа с услугата. В същото време, както разбирам, и app_id, и app_secret, и маркерът трябва да се съхраняват някъде. В случай на десктоп приложение, това е например конфигурационен файл или регистър на Windows. Съответно, тези данни могат да бъдат командвани и използвани за лоши цели, например, глупаво е да DDoS услугата ми с някакво приложение на трета страна.