RFC 7636：代码交换证明密钥

www.rfc-editor.org/rfc/rfc7636

PKCE (RFC 7636) 是 授权码流程 的扩展，用于防止 CSRF 和授权码注入攻击。

PKCE 不是一种客户端认证形式，并且 PKCE 无法 替换客户端机密或其他客户端认证方式。即使客户端使用客户端机密或其他形式的 客户端认证（如 private_key_jwt），仍建议使用 PKCE。

注意：由于 PKCE 无法替换客户端认证，因此它不能将公有客户端视为机密客户端。

PKCE 最初旨在保护移动应用程序中的授权码流程，但其防止授权码注入的能力使其适用于每种类型的 OAuth 客户端，即使是使用客户端认证的 Web 应用程序。

视频

• OAuth 和 OIDC 的最新动态（8:22）
• 机密和公开客户端有什么区别？
• 隐式流程出了什么事？

工具

• OAuth 2.0 Playground 上的 PKCE (oauth.com)
• PKCE 代码挑战生成器 (example-app.com)
• PKCE 代码生成器 (developer.pingidentity.com)

更多资源

• PKCE (oauth.com)
• 移动应用程序 (aaronparecki.com)
• OAuth 2.0 for Mobile & Desktop Apps (developers.google.com)
• 针对原生和移动应用程序的 OAuth 2.0（developer.okta.com 由 Micah Silverman 撰写）
• OAuth 2.0 中的 PKCE 详解（loginradius.com 由 Narendra Pareek 撰写）