我应该在哪里存储 code_verifier(使用 PKCE 的 oauth 2.0 代码授权流程)

【问题标题】:Where I should store code_verifier (oauth 2.0 code authorization flow with PKCE)我应该在哪里存储 code_verifier(使用 PKCE 的 oauth 2.0 代码授权流程)
【发布时间】:2020-08-21 15:42:45
【问题描述】:

我目前正在 SSR 页面中使用 PKCE 进行 oauth 2.0 代码授权授权(前面使用 React,后面使用 Express)。

当客户端请求授权服务器代码时,我应该将code_verifier 存储在哪里(当授权服务器创建 code_challenge 和 code_verifier 以验证后者时)。我的授权服务器在独立的堆栈/基础架构中运行。

我应该将code_verifier 存储在 req.headers 中吗? (见Draft Campbell OAuth TBPKCE-00

我们关注RFC6749

【问题讨论】:

  • 您好,可以分享您已经尝试过的代码示例吗,如果您提供运行代码 sn-ps 将有助于我们进行调试,并且您是否已经 google 了您的问题?如果您让我们知道您已经研究过什么,那就太好了

标签: node.js reactjs oauth-2.0 pkce oauth2orize


【解决方案1】:

我建议您考虑将其存储在cookies,这是一种简单的方法,如果有人看到它也没什么大不了的。您可以使用 Node.jscookie-parser 库,我个人非常喜欢并且几乎每天都在使用它,因为它提供了对开发人员友好的工具。

仅供参考:我主要研究 GraphQL API,我还找到了一个很好的解决方案,可以将 code_verifier 存储在 GraphQL 服务器的 context 中,例如阿波罗服务器

【讨论】:

    猜你喜欢
    • 2020-11-07
    • 2021-12-22
    • 2016-10-15
    • 2020-11-27
    • 2020-12-08
    • 2018-08-05
    • 1970-01-01
    • 2021-08-03
    • 2021-04-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode