0x00 背景
最近好好学习了一下OAUTH2.0,发现OAUTH2.0有很多认证方式,code flow和impicit flow大家都已经很熟悉了,我来总结一下使用pkce的code flow。
顺便,这个链接可以用来参考你该使用哪种flow:
https://auth0.com/docs/api-auth/which-oauth-flow-to-use0x01 PKCE
PKCE模式适用于功能逻辑主要在客户端完成的native app。因为native app没有浏览器那样的cookie支持,CP服务器没有session这样的东西来保存state参数从而防止CSRF,所以使用PKCE的code_verifier和code_challenge来防止CSRF。这里主要考虑到的威胁是,native app必须经过浏览器才能进行redirect操作,在下图的第③步中,由于使用了app的custom schemer,如果有恶意app注册了同一个schemer,则不能保证第③步的重定向会回到你的app。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
从“为什么”开始
[美] 西蒙·斯涅克 / 苏西 / 海天出版社 / 2011-7 / 32.00元
影响人类的行为:要么靠操纵,要么靠感召。 操纵带来的是交易,是短期效益; 感召带来的是信任,是永续经营! 盖茨走后,微软面临怎样的挑战?后盖茨时代,微软为何从一个希望改变世界的公司沦落为一个做软件的公司? 沃尔玛的灵魂人物过世后,一度被人们热爱的公司,遭到的竟然多是顾客、员工的反感?沃尔玛要怎样做才能重放昔日光彩? 星巴克吸引人们购买的不是咖啡,而是理念?为什么说霍华......一起来看看 《从“为什么”开始》 这本书的介绍吧!
