5.3. Device Trustworthiness (Fiabilité de l'appareil)

Contrairement à d'autres flux OAuth 2.0 d'application native, l'appareil demandant l'autorisation n'est pas le même que l'appareil à partir duquel l'utilisateur accorde l'accès. Ainsi, les signaux de la session de l'utilisateur approbateur et de l'appareil ne sont pas toujours pertinents pour la fiabilité de l'appareil client.

Notez que si un serveur d'autorisation utilisé avec ce flux est malveillant, il pourrait alors effectuer une attaque de l'homme du milieu sur le flux de canal arrière vers un autre serveur d'autorisation. Dans ce scénario, l'homme du milieu n'est pas complètement caché de la vue, car l'utilisateur final se retrouverait sur la page d'autorisation du mauvais service, lui donnant l'occasion de remarquer que l'URL dans la barre d'adresse du navigateur est incorrecte. Pour que cela soit possible, le fabricant de l'appareil doit soit être l'attaquant et expédier un appareil destiné à effectuer l'attaque de l'homme du milieu, soit utiliser un serveur d'autorisation contrôlé par un attaquant, peut-être parce que l'attaquant a compromis le serveur d'autorisation utilisé par l'appareil. En partie, la personne qui achète l'appareil compte sur le fabricant et ses partenaires commerciaux pour être dignes de confiance.