温馨提示:本文翻译自stackoverflow.com，查看原文请点击：oauth 2.0 - Should Authorization flow use both secret and PKCE for a Web app

oauth-2.0 openid openid-connect

oauth 2.0 - 授权流程应针对Web应用程序同时使用密钥和PKCE吗

发布于 2020-03-27 11:43:12

我当前正在查看不同的OIDC流程，并发现带有PKCE的AuthorizationCode流和AuthorizationCode流。

我发现的几乎所有地方都说PKCE是Client Secret的替代品，应由本机应用程序使用。

现在我想知道为什么不使用客户机密和PKCE的原因是什么，这是否有用还是仅仅是没有必要？

我正在运行经过测试的Openiddict服务器，它将检查客户端密码和代码验证程序。但是我读过的任何地方都只说PKCE，没有（静态）秘密。

提问者

Binq1000

被浏览

119

查看英文版

查看原文

Kévin Chalet 2019-07-03 23:05

我发现的几乎所有地方都说PKCE是Client Secret的替代品，应由本机应用程序使用。

当然不。PKCE和客户端身份验证是两个附加但完全独立的措施：

客户端身份验证-通常由服务器端客户端使用-保证只有颁发了授权代码的客户端应用程序才能兑换它。采取这种安全措施后，即使资源所有者本人也无法兑现自己的代码。
PKCE保证只有发起授权请求的客户端才能发送有效的令牌请求，因为授权代码已绑定到初始代码质询/验证器，而初始代码质询/验证器仅由生成该请求的合法客户端知道。对于移动/桌面应用程序，PCKE对于防止依赖于修改由特定应用程序处理的URI方案的攻击特别有用，该攻击可能被劫持以重新路由授权响应并窃取授权代码。

如今，即使它最初是为移动或桌面应用程序之类的公共应用程序设计的，我们也倾向于在机密服务器端应用程序中使用PKCE，以防止授权代码泄漏。在这种情况下，您绝对应该将其与客户端身份验证（即客户端机密验证）结合使用。

相关问题

1

如何将令牌从OpenID Connect提供程序传递给AppSync API

2

使用 Okta 授权外部 API 调用

3

SSO网站宕机时如何处理本地认证？

4

我可以使用 ID Token 进行用户身份验证吗？

5

JMETER 记录控制器，从重定向 URL 获取始终相同的状态和现时值

6

如何使用 Google 的公钥手动验证 JWT 的签名？

7

可以将 session_state 存储在客户端的本地存储中吗？

8

使用 OAuth 访问 SPA 和 REST API 时，应该在哪里为 RBAC 存储用户组成员资格

9

将 KeyCloak(OpenID Connect) 与 Apache SuperSet 结合使用

10

密码重置后强制注销 WSO2 IS

热门github

1

real time face swap and one-click video deepfake with only a single image

2

A quick example of how one can "synchronize" a 3d scene across multiple windows using three.js and localStorage

3

ChatGPT DAN, Jailbreaks prompt

4

21 Lessons, Get Started Building with Generative AI 🔗 https://microsoft.github.io/generative-ai-for-beginners/ (翻译：12 节课程，开始使用生成式 AI 进行构建)

5

Curated list of project-based tutorials (翻译：收藏了基于项目的教程列表)

6

Truly independent web browser

7

Python - 100天从新手到大师

8

An open source payments switch written in Rust to make payments fast, reliable and affordable (翻译：YOLOv8 🚀 in PyTorch > ONNX > CoreML > TFLite)

9

Agent S: an open agentic framework that uses computers like a human

10

Master programming by recreating your favorite technologies from scratch. (翻译：在这个项目中，你能学会如何创造自己的各种工具，引擎，游戏，框架，库......)

11

Jelly Evolution Simulator

12

Collection of leaked system prompts

13

🤯 Lobe Chat - an open-source, modern-design AI chat framework. Supports Multi AI Providers( OpenAI / Claude 3 / Gemini / Ollama / DeepSeek / Qwen), Knowledge Base (file upload / knowledge management / RAG ), Multi-Modals (Plugins/Artifacts) and Thinking. One-click FREE deployment of your private ChatGPT/ Claude / DeepSeek application. (翻译：LobeChat 是开源的高性能聊天机器人框架，支持语音合成、多模态、可扩展的（Function Call）插件系统。)