Для клиентов OAuth, какие плохие вещи могут случиться, если выставлен client_secret?

tl; dr Это нарушение безопасности высокого уровня

Если вы следили за недавними событиями, такими как нарушение Facebook , то мы говорим о возможности подобной угрозы , Вы просто приветствуете злоумышленников для получения токенов доступа, которые они могут использовать для чего угодно. Ваши защищенные токеном OAuth конечные точки теперь скомпрометированы.

RFC6819 - Модель угроз OAuth 2.0 и соображения безопасности в разделе Угроза: получение клиентских секретов освещается ниже,

В результате это будет следующее:

• Проверка подлинности клиента для доступа к серверу авторизации может быть обойдена.
• Украденные токены обновления или «коды» авторизации могут быть воспроизведены

Если вы сравниваете себя с общедоступным клиентом, который не содержит учетные данные клиента, специальный вектор атаки открывается через [113 ] предоставление учетных данных клиента . Таким образом, даже если токен обновления или код авторизации безопасен, злоумышленник может использовать указанное разрешение для получения токенов доступа. Поэтому никогда не раскрывайте секрет клиента.