Appendix A. Server Support Checklist (Anhang A. Server-Support-Checkliste)

OAuth-Server, die native Apps unterstützen, müssen (must):

1. Privat genutzte URI-Schema-Redirect-URIs unterstützen. Dies ist erforderlich, um mobile Betriebssysteme zu unterstützen. Siehe Abschnitt 7.1.

2. "https"-Schema-Redirect-URIs für die Verwendung mit öffentlichen nativen App-Clients unterstützen. Dies wird von Apps auf fortgeschrittenen mobilen Betriebssystemen verwendet, die von Apps beanspruchte "https"-Schema-URIs zulassen. Siehe Abschnitt 7.2.

3. Loopback-IP-Redirect-URIs unterstützen. Dies ist erforderlich, um Desktop-Betriebssysteme zu unterstützen. Siehe Abschnitt 7.3.

4. Nicht annehmen, dass native App-Clients ein Geheimnis bewahren können. Wenn Geheimnisse an mehrere Installationen derselben nativen App verteilt werden, sollten sie nicht als vertraulich behandelt werden. Siehe Abschnitt 8.5.

5. PKCE [RFC7636] unterstützen. Erforderlich zum Schutz von Autorisierungscode-Grants, die über Inter-App-Kommunikationskanäle an öffentliche Clients gesendet werden. Siehe Abschnitt 8.1

---