49-OAuth2授权码中PKCE的配置

PKCE这个词在OAuth2相关的教程中出现的越来越频繁了，它是 Proof Key for Code Exchange的缩写。OAuth2公共客户端非常容易遭受授权码拦截攻击，PKCE技术可以抵御该类型的攻击。到了后面不仅仅OAuth2公共客户端使用这个，隐匿客户端也使用这种技术来加强安全性，相关的规范是rfc7636。

https://gitee.com/felord/spring-security-oauth2-tutorial pkce 分支。

PKCE流程

PKCE伴随授权码授权的流程，具体步骤如下：

1. OAuth2客户端生成 code_verifier，并使用 code_challenge_method 计算 code_challenge，具体的算法稍后会详细讲解。
2. OAuth2客户端发起/oauth2/authorize授权请求，携带 code_challenge 和 code_challenge_method 这两个参数。
3. OAuth2授权服务器对OAuth2客户端/oauth2/authorize的授权请求进行验证。
4. OA

文章来源: felord.blog.csdn.net，作者：码农小胖哥，版权归原作者所有，如需转载，请联系作者。

原文链接：felord.blog.csdn.net/article/details/125156650