PKCE 如何帮助公共客户？

PKCE 的作用是确保是同一个客户端（应用程序）执行初始身份验证请求和使用授权代码的请求。

例如，在移动应用程序或浏览器扩展中，如果“邪恶”应用程序获得了授权码，那么它应该无法使用它。

问题在于，例如，多个应用程序可能会尝试在手机中注册相同的redirect_uri。

黑客如何捕获重定向？

移动应用程序通常会注册一个自定义方案来接收从STS返回的重定向请求：

app-name://?access_token=??????

例如：

com.googleusercontent.apps.123504760640ip7qq628i6dreavptfk981d9ji6x:/oauth2callback
com.googleusercontent.apps.5996697-7obf9q7equ9msfakdcg8iveqgn3sck1s:/oauth2callback
fb19884028963vimeo://authorize/fb1592193007691679://authorize/
x-msauth-azureiosapp://com.microsoft.azure
ms-whiteboard-iosauth://com.microsoft.whiteboard
mevo://vimeooauth
oreilly://oauth/complete

如果黑客也注册了相同的方案怎么办？

clientID，黑客可以轻松地从移动应用程序捕获示例请求。