RFC 6749 第 2.3 节：OAuth 2.0 客户端身份验证

rfc-editor.org/rfc/rfc6749#section-2.3

机密客户端向 OAuth 授权服务器发出请求时需要进行身份验证。

核心 OAuth 2.0 规范定义了“客户端密码”（例如客户端密钥）客户端身份验证类型，其中定义了 client_secret 参数以及在 HTTP Authorization 头中包含客户端密钥的方法。

这些是最常见的客户端身份验证形式。

• 客户端密码（RFC 6749 第 2.3.1 节）
• 相互 TLS（RFC 8705）
• 私钥 JWT（RFC 7521，RFC 7523，OpenID）

注意：PKCE 不是一种客户端身份验证形式，也不是客户端身份验证的替代品。使用客户端身份验证的应用程序还应该使用 PKCE。

更多资源

• 客户端凭据（oauth.com）
• 客户端身份验证方法（developer.okta.com）