授权代码PKCE -可以使用代码后端请求令牌吗?
授权代码PKCE -可以使用代码后端请求令牌吗?
提问于 2020-11-24 12:14:24
在授权代码流中。前端可以将Auth代码发送到后端,后端可以使用Auth Server的代码请求令牌。
现在假设我们有SPA前端,并且使用了PKCE。前端是否仍有可能使用其客户端凭据将代码发送到后端和后端请求令牌?我的意思是,后端不知道前端产生的证明密钥秘密。
回答 1
Stack Overflow用户
回答已采纳
发布于 2020-11-24 13:43:35
您不会将PKCE与客户端秘密混合和匹配,但常见的解决方案是通过后端代理授权代码授予消息:
- 将PKCE验证器从浏览器发送到后端
- 然后将验证器发送到授权服务器
这可以是一种将访问令牌(或刷新令牌,或两者都保留在浏览器之外)的机制。举个例子,我的样品SPA是这样工作的。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/64986274
复制相关文章
相似问题
腾讯云开发者
