5.6. Non-Confidential Clients (Nicht vertrauliche Clients)

Geräteclients sind im Allgemeinen nicht in der Lage, die Vertraulichkeit ihrer Anmeldeinformationen aufrechtzuerhalten, da Benutzer, die das Gerät besitzen, es rückentwickeln und die Anmeldeinformationen extrahieren können. Daher sollten sie, sofern keine zusätzlichen Maßnahmen ergriffen werden, als öffentliche Clients behandelt werden (wie in Abschnitt 2.1 von [RFC6749] definiert), die anfällig für Identitätsmissbrauch sind. Die Sicherheitsüberlegungen von Abschnitt 5.3.1 von [RFC6819] und den Abschnitten 8.5 und 8.6 von [RFC8252] gelten für solche Clients.

Der Benutzer kann möglicherweise auch den "device_code" und/oder andere OAuth-Bearertoken erhalten, die an seinen Client ausgestellt wurden, was es ihm ermöglichen würde, seine eigene Autorisierungsgenehmigung direkt durch Identitätsmissbrauch des Clients zu verwenden. Angesichts der Tatsache, dass der Benutzer, der im Besitz der Client-Anmeldeinformationen ist, bereits den Client imitieren und eine neue Autorisierungsgenehmigung erstellen kann (mit einem neuen "device_code"), stellt dies keinen separaten Identitätsmissbrauchsvektor dar.