在 OIDC 授权代码流程中,客户端密钥通过反向通道发送到授权服务器的令牌端点。
既然坏人无法知道客户端秘密,这还不够安全吗?
PKCE 在这种情况下有何帮助?
PKCE 的目的是使用也启动身份验证请求流程的身份验证代码来验证它是否是同一个客户端。
客户端密钥用于向授权服务器验证客户端的身份。此外,秘密是在 PKCE 之前引入的,并不是每个身份验证流程都支持 PKCE。
因此,在某些情况下它们可能看起来重叠,但同时又不重叠。他们有不同的目的。