De RFC 6749 (sección 10.4):
El servidor de autorización DEBE asegurarse de que los tokens de actualización no se puedan generar , modificar , o adivinar para producir tokens de actualización válidos por parte de partes no autorizadas.
No entiendo por qué esto es necesario, ya que cuando el cliente desea obtener un token de acceso utilizando el tipo de concesión refresh_token
, DEBE enviar una ID de cliente y una clave secreta en el cuerpo de la solicitud; de lo contrario, la solicitud es denegado por el servidor de autorizaciones. La parte no autorizada tendría que adquirir de alguna manera la identificación del cliente y la clave secreta.