oauth - 我可以在没有客户端密码的情况下使用带有 PKCE 的 IdentityServer3 授权代码流吗?
问题描述
我希望扩展我们的 ID 服务器实例以支持移动应用程序,并希望将授权代码流与 PKCE 一起使用。由于这是一个公共客户端,我不希望将秘密存储在应用程序上,但似乎 ID3 需要一个秘密。任何人都可以确认这一点,就好像我可能需要考虑将 ID3 升级到 ID4 一样,这将成为我的时间线问题?
亲切的问候, Lastbuilders
解决方案
为公共客户端指定密钥不是代码 + PKCE 流程的问题。在那种情况下,它只是一个雏形,几乎没有增加更多的安全性。这就是为什么他们引入了一个完全关闭它的选项。
推荐阅读
- java - HTTP 请求正文中的数据如何传递到 servlet
- python - 在 shaow 文件 Linux 中打印加盐哈希
- python - 如何让我的 Python 密码破解器更高效地运行?
- python - ValueError:类的数量必须大于一;获得 1 门 ScikitLearn Python 课程
- javascript - 单击时如何获取div中特定元素的值?
- npm - 如何代理 Fontawesome Pro npm 包
- javascript - 如何从 node.js 中的承诺返回?
- html - 函数调用 html vs react
- python - 已解决:我的 Python 代码返回 None 而不是列表
- javascript - 如何使用异步、等待和承诺?