アクセストークンを取得するためにGoogle OAuth2にクライアントシークレットと更新トークンが必要な理由

Question

Google OAuth2のドキュメントを読んだ後、私はapplication_default_credentials.jsonをダウンロードし、これを使ってアクセストークン（ベアラトークン）を取得しました。

これがOAuth2の標準であるかどうかはわかりません。一部のドキュメントでは、アクセストークンを取得するためにリフレッシュトークンとクライアントの認証情報が必要であることが示されていますが、クライアントの資格があれば、アクセストークンを直接取得できるのですか？

Answer 1

はい、クライアント証明書をリフレッシュトークンとともに送信する必要があるOAuth2仕様の一部です。 RFC 6749, section 6から：

リフレッシュトークンは通常、長期的な追加のアクセストークンを要求するために使用する資格情報を、リフレッシュトークンは、それが発行されたために、クライアントにバインドされているので。クライアントタイプが機密であるか、クライアントがクライアントクレデンシャルを発行された（または他の認証要件が割り当てられている）場合、クライアントは認証サーバで認証しなければならない。