【发布时间】:2022-12-06 06:19:43
【问题描述】:
OAuth2(PKCE 流程)
客户端应用程序调用/authorize授权服务器端点代码挑战和代码挑战方法.两个都代码挑战和代码挑战方法在授权服务器的后续请求中需要与用户凭据一起生成授权代码。
我可以想到两种存储方式代码挑战和代码挑战方法在后续调用中使用:
- 坚持代码挑战和代码挑战方法在重定向到登录页面或用户同意页面之前
- 通过代码挑战和代码挑战方法到查询参数中的登录页面,这些参数将与凭据一起提交
由于RFC 没有谈论太多,哪个选项更好,为什么,或者还有其他选项吗?请建议。
此外,是否有任何关于授权服务器端点的最佳设计实践(除了/authorize和/token) 在 OAuth2(PKCE 流)中的实现?
【问题讨论】:
-
code_verifier 在生成代码后出现,我的问题是关于 OAuth2(PKCE) 流程中的用户身份验证。