我正在研究用于保护本机应用程序登录的表单,并找到了它:https://auth0.com/docs/flows/concepts/auth-code-pkce。
嗯,我知道这是本机应用程序中不安全的使用代码流,因为用户可以反编译应用程序并获取客户端密码。例如,有了客户秘密,用户可以随时以邮递员的身份呼叫授权服务器。
我看不出添加PKCE(代码验证程序和代码挑战)会更好。以攻击者的身份考虑,我可以生成一个PKCE对并模拟与App相同的事物,因为我拥有客户机密,对于我来说PKCE可以给攻击者更多的工作。
我可以随机创建一个代码挑战和一个代码验证器,将代码挑战发送到授权服务器,并使用我的代码验证器来获取请求令牌。
通常,主要保护是授权响应仅在您拥有的URL上返回。对于Web UI,这将是基于域的url,例如:
虽然可能很难在移动应用程序中使用声明的https方案,但由于缺乏供应商/浏览器支持,几乎没有人使用它。
希望该环境(获得App / Play商店的批准)可以防止恶意第三方注册这样的URL,而无需在注册时证明他们来自“我的公司”:
您是对的,尽管我没有听说过任何现实的漏洞利用,但这里仍有潜在的差距。