Entiendo que OAUth 2.0 realmente solo se basa en SSL para cifrar el contenido del token de portador. Sin embargo, ¿existen otras prácticas recomendadas que se deben seguir al proteger OAuth 2.0?
Sé que puede usar un montón de cosas adicionales al usar HMAC, como nonce, timestamp, etc., pero ¿existen otras prácticas recomendadas recomendadas para la seguridad en los mensajes de OAuth 2.0 que no sean solo SSL?