我目前正在查看不同的 OIDC 流程,并找到了 AuthorizationCode 流程和使用 PKCE 的 AuthorizationCode 流程。
我发现的几乎所有地方都说 PKCE 是客户端密钥的替代品,应该由本机应用程序使用。
现在我想知道有什么理由不使用客户端密钥和 PKCE,这有用还是没有必要?
我正在运行一个我已经测试过的 Openiddict 服务器,它将检查客户端密钥和代码验证器。但我读到的所有地方,都只写着 PKCE 而没有(静态)秘密。
openid oauth-2.0 openid-connect
oauth-2.0 ×1
openid ×1
openid-connect ×1