gpt4 book ai didi

oauth-2.0 - OAuth2 : using PKCE instead of client_secret

转载 作者:行者123 更新时间:2023-12-01 22:15:53 29 4
gpt4 key购买 nike

我有一个使用 OAuth2 的 Implicit Grant 的网络应用程序进行身份验证。

我希望能够使用刷新 token 使我的 session 长时间保持事件状态。但由于我无法在 Web 应用程序中安全地存储 client_secret,因此我无法使用传统的 Authorization Code grant .

使用安全吗PKCE代替 client_secret,或者我这样做会失去一定程度的安全性吗?

最佳答案

是的。虽然 PKCE 比不使用它更安全;使用 PKCE 的隐式授权仍然会留下访问 token ,可能会暴露给资源所有者以及驻留在同一设备上的其他应用程序。

PKCE 主要防止攻击者拦截从不受传输层安全性 (TLS) 保护的通信路径中的授权端点返回的授权代码。

隐式流程仅适用于基于浏览器或 JavaScript 的 OAuth 客户端应用程序 NOT 移动设备或其他可以使用授权码授予的应用程序

关于oauth-2.0 - OAuth2 : using PKCE instead of client_secret,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45924365/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com