PKCE:重定向端点如何知道code_verifier?
我对PKCE(RFC 7636)有疑问。使用授权代码授权的OAuth客户端有两个组件:(1)资源所有者启动授权请求的设备部分;(2)服务器上可以接受和发送HTTPS消息的重定向端点。 / p>
OAuth的PKCE扩展让客户端执行此操作:
- 生成一个名为code_verifier的加密随机字符串。
- 创建code_verifier的SHA-256摘要并对其进行Base64编码。 与授权请求一起发送。
- 当客户端获取授权代码并将其发送到令牌时 访问令牌的端点,包括原始的code_verifier值。
第2步发生在资源所有者的设备上。一旦资源所有者批准了该请求,他/她的浏览器就被重定向到客户端的重定向端点。步骤3发生在重定向端点。
所以问题是,重定向端点如何知道code_verifier值?它是在资源所有者的设备上生成的。
2 个答案:
答案 0 :(得分:1)
所以问题是,重定向端点如何知道 code_verifier值?它是在资源所有者的设备上生成的。
因为重定向端点有效地路由到调用授权端点的同一设备上的端点。
它可能被注册为环回重定向,应用程序声明的重定向或自定义URL方案,但设备会将重定向路由到相应的应用程序,或者应用程序将侦听相应的端口以进行环回。
使用授权代码授权的OAuth客户端有两个 组件:(1)资源所有者设备上的部分 发起授权请求和(2)重定向端点 可以接受和发送HTTPS消息的服务器。
机密客户端在可以接受和发送HTTPS消息的服务器上具有重定向端点。
公共客户端没有 - 使用PKCE的本地客户端是still public clients。
答案 1 :(得分:0)
为了构建所提供的信息,PKCE旨在确保重定向URI通过授权代码拦截攻击路由回请求应用程序,而不是恶意应用程序。在这种情况下,合法应用程序将知道验证程序,但恶意应用程序将不知道验证程序。
PKCE合法应用流程
合法的应用程序流如下所示,授权令牌请求被重定向回SystemBrowser,然后返回到原始NativeApp。
授权码拦截攻击
可以将恶意应用程序引入操作系统。使用或不使用PKCE,本机应用程序可以接收授权代码,但它不会知道验证者,因此无法完成令牌交换。
- TCP端点如何知道另一个端点是关闭了连接的两半还是仅关闭了一半?
- Android Webview:知道网址重定向
- Google Cloud Endpoint重定向301
- 尝试使用IdentityServer4在混合流(使用PKCE)中实现授权时出现“意外的code_verifier”
- Microsoft Graph Authentication错误AADSTS70000 code_verifier与code_challenge不匹配
- PKCE:重定向端点如何知道code_verifier?
- ADAL.js是否支持带有PKCE扩展名的新授权代码授予?
- PKCE OAuth 2.0中“ code_verifier”的意义是什么?
- 我应该在哪里存储code_verifier(带有PKCE的oauth 2.0代码授权流)
- B2C是否通过PKCE支持Grant Flow?
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?