0x00 背景
最近好好学习了一下OAUTH2.0,发现OAUTH2.0有很多认证方式,code flow和impicit flow大家都已经很熟悉了,我来总结一下使用pkce的code flow。
顺便,这个链接可以用来参考你该使用哪种flow:
https://auth0.com/docs/api-auth/which-oauth-flow-to-use0x01 PKCE
PKCE模式适用于功能逻辑主要在客户端完成的native app。因为native app没有浏览器那样的cookie支持,CP服务器没有session这样的东西来保存state参数从而防止CSRF,所以使用PKCE的code_verifier和code_challenge来防止CSRF。这里主要考虑到的威胁是,native app必须经过浏览器才能进行redirect操作,在下图的第③步中,由于使用了app的custom schemer,如果有恶意app注册了同一个schemer,则不能保证第③步的重定向会回到你的app。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
