Здравствуйте, Serginio1, Вы писали:

НС>>Какие такие сотни клиентов? Мы вроде про десктопный софт говорили.
S> Ну начали то про десктоп.

А, то есть ты опять сменил тему, да еще забыл об этом остальным сказать.

S>А у меня на работе как раз задачка встала. Поэтому есть некий сервис аналог 1С. С ним надо работать через Oath2.

Не, ты реальнго тугой. Сколько раз в этом топике я написал, что для server 2 server коммуникаций предназначен client credentials? Сколько раз мне еще надо написать, чтобы до тебя наконец это дошло?
Еще раз для особо непробиваемых. Для OAuth2 есть ровно 3 актуальных способа логина:
1) Auth code flow. Открывает системный браузер на том устройстве, где выполняется логин.
2) Devide code flow. То же самое, но браузер можно руками открыть на любом устройстве вводя специальный урл и device код руками или через QR, что позволяет логиниться на устройствах без браузера и даже клавиатуры.
3) Client credentials. Для сценария когда взаимодействуют два сервиса, развернутых в контролируемом с точки зрения безопасности окружении (на своем сервере), браузер не нужен, используется shared secret в виде некоей секретной строки или серта. При этом, разумеется, необходимо безопасное хранение этого секрета, поэтому и не годится для развертывания на клиентских устройствах, а тем более при работе в браузере.
Все остальный варианты небезопасны и применять их не следует.

S>Изначально они задумывали только как вэб. Но потом оказалось, что нужно работать через кучу устройств где проще работать через приложения и обмениваться данными с сервисом.
S>В итоге у них есть свой апи

У кого у них?

S>Просто задумывали одно, а получилось совсем другое.

Или просто кто то чего то не понимает и несет бред.