小编joh*_*854的帖子

想象一下这次攻击

1. 攻击者拦截对授权服务器的第一次调用，然后进行代码挑战。（图中的步骤1）
2. 攻击者现在使用授权代码拦截来自授权服务器的响应。（图中的步骤2）
3. 然后攻击者可以 POST 授权代码和代码验证程序来获取访问令牌。（步骤3）

参考这张图：流程：

问题

1. 什么可以阻止攻击者拦截对授权服务器的第一次调用？这就是让授权码 + PKCE 比隐式流更安全的目的。

2. 也许调用被拦截并不重要，因为代码挑战已被散列，因此攻击者没有第二次调用所需的代码验证器。但是如果代码挑战没有经过哈希处理怎么办？