标签: oauth oauth-2.0 identityserver4 identityserver3 oidc
我希望扩展ID服务器实例以支持移动应用程序,并希望将授权代码流与PKCE结合使用。由于这是公共客户端,因此我不希望将机密存储在应用程序中,但是ID3似乎需要机密。任何人都可以确认这一点,就好像我可能需要考虑将ID3升级到ID4一样,这将成为我的时间表问题?
亲切的问候, 最后的建造者
答案 0 :(得分:0)
为公共客户端指定秘密不是代码+ PKCE流的问题。在这种情况下,it's just a rudiment几乎不会增加安全性。因此,他们引入了将其完全关闭的选项。