安全原生应用 OAuth2 代码流 + PKCE

Question

我正在研究保护原生应用登录的表单并找到它：https://auth0.com/docs/flows/concepts/auth-code-pkce。

嗯，我知道在本机应用程序中使用代码流是不安全的，因为用户可以反编译应用程序并获取客户端密码。例如，有了客户端密码，用户可以在任何时候想到邮递员就可以调用授权服务器。

我看不出添加 PKCE（代码验证器和代码挑战）会变得更好。作为攻击者，我可以生成一个PKCE对并模拟与App相同的东西，因为我有客户端密码，对我来说PKCE只是给攻击者更多的工作。

我可以随机创建一个代码质询和一个代码验证器，将代码质询发送到授权服务器并使用我的代码验证器获取请求令牌。

Answer 1

一般来说，主要的保护措施是仅在您拥有的 URL 上返回授权响应。对于 Web UI，这将是基于域的 url，例如：

• https://mycompany.com/myapp

虽然很难将声称的 https 方案用于移动应用程序，但由于缺乏供应商/浏览器支持，几乎没有人使用它。

对于自定义 URL 方案，希望环境（App / Play 商店批准）可以防止恶意第三方在注册时没有证明他们来自“我的公司”的情况下注册这样的 URL：

• com.mycompany.myapp:/callback

你说得对，这里有一个潜在的漏洞，虽然我没有听说过任何现实世界的漏洞。