Appendix A. Server Support Checklist (Annexe A. Liste de contrôle de support serveur)

Les serveurs OAuth qui prennent en charge les applications natives doivent (must) :

1. Prendre en charge les URI de redirection de schéma URI à usage privé. Ceci est requis pour prendre en charge les systèmes d'exploitation mobiles. Voir Section 7.1.

2. Prendre en charge les URI de redirection de schéma "https" pour une utilisation avec des clients d'applications natives publiques. Ceci est utilisé par les applications sur des systèmes d'exploitation mobiles avancés qui permettent des URI de schéma "https" revendiqués par l'application. Voir Section 7.2.

3. Prendre en charge les URI de redirection IP de bouclage. Ceci est requis pour prendre en charge les systèmes d'exploitation de bureau. Voir Section 7.3.

4. Ne pas supposer que les clients d'applications natives peuvent garder un secret. Si des secrets sont distribués à plusieurs installations de la même application native, ils ne doivent pas être traités comme confidentiels. Voir Section 8.5.

5. Prendre en charge PKCE [RFC7636]. Requis pour protéger les concessio de code d'autorisation envoyées aux clients publics via des canaux de communication inter-applications. Voir Section 8.1

---