5.6. Non-Confidential Clients (Clients non confidentiels)

Les clients d'appareils sont généralement incapables de maintenir la confidentialité de leurs informations d'identification, car les utilisateurs en possession de l'appareil peuvent le rétro-concevoir et extraire les informations d'identification. Par conséquent, à moins que des mesures supplémentaires ne soient prises, ils doivent être traités comme des clients publics (tels que définis par la Section 2.1 de [RFC6749]), qui sont susceptibles d'usurpation d'identité. Les considérations de sécurité de la Section 5.3.1 de [RFC6819] et des Sections 8.5 et 8.6 de [RFC8252] s'appliquent à ces clients.

L'utilisateur peut également être en mesure d'obtenir le "device_code" et/ou d'autres jetons bearer OAuth émis à leur client, ce qui leur permettrait d'utiliser directement leur propre autorisation en usurpant l'identité du client. Étant donné que l'utilisateur en possession des informations d'identification du client peut déjà usurper l'identité du client et créer une nouvelle autorisation (avec un nouveau "device_code"), cela ne représente pas un vecteur d'usurpation d'identité séparé.