OAuth2のImplicit Grantを使用して認証するWebアプリケーションがあります。OAuth2:client_secretの代わりにPKCEを使用する
私は、リフレッシュトークンを使用して、長い間セッションを有効にしたいと考えています。しかし、Webアプリケーションにclient_secretを安全に保存することができないため、従来のAuthorization Code grantは使用できません。
PKCEをclient_secretの代わりに使用するのは安全ですか、そうすることで一定のレベルのセキュリティが失われますか?
JavaScriptアプリケーションでPKCEでAuth Code grantを使用できないのはなぜですか? –
できます。認証コード傍受攻撃の影響を受けやすい「パブリッククライアント」を使用していると仮定します。機密クライアントとTLSとノンスを適切に使用している場合は、セキュリティ上の利益があるかどうかはわかりません。 – jwilleke