了解 PKCE 与授权代码授予的好处

我是 OAuth 世界的新手，我试图了解使用 PKCE 相对于传统授权代码授予的好处。 （我的许多假设可能是错误的，所以我感谢您的指正。）

我是一名移动应用程序开发人员，根据 OAuth 文档，客户端机密不能硬编码在公共客户端的应用程序代码中。避免对客户端密钥进行硬编码的原因是，黑客可以反编译我的应用程序并获取我的客户端密钥。

拥有我的客户端密钥和我的redirect_url的黑客可以开发虚假应用程序。如果最终用户 (User1) 下载真实应用程序和黑客的应用程序（两者），则虚假应用程序可以侦听真实应用程序回调并从中获取授权代码。通过授权代码（来自回调）和客户端密钥（通过反编译我的应用程序窃取），黑客可以获取授权令牌和刷新令牌，并能够获取例如 User1 的数据。

如果其他用户下载真假应用程序，他们的数据也将面临危险。我对吗？黑客是否需要两者，或者他/她是否可以仅使用授权代码进行攻击？镜像第五步需要客户端密钥和授权码吗？

这种攻击称为拦截攻击。

为了解决公共客户端应用程序中硬编码客户端密钥的问题，使黑客无法获取客户端密钥并窃取令牌，发明了 PKCE。使用 PKCE，客户端应用程序代码不需要对客户端密钥进行硬编码，因为 PKCE 不需要该信息来获取最终用户的令牌。

PKCE 流程创建一个随机字符串，将其转换为 SHA-256 哈希值和 Base64。在图像的第二点中，该编码字符串与“客户端 ID”一起发送到身份验证服务器。然后，授权代码在回调中发送，如果任何恶意应用程序拦截该代码，它将无法获取令牌，因为图像的第五点需要由合法应用程序创建的原始随机字符串。 这很好，但如果不再需要客户端密钥来获取令牌来访问 User1 数据，我如何避免黑客开发一个假应用程序，该应用程序使用 PKCE 流和我的客户端 ID 并获取用户的令牌谁认为该应用程序是合法的？

由于图像的第五步不再需要客户端密钥来获取令牌，任何人都可以使用我的公共客户端 ID 开发虚假应用程序，如果任何用户下载虚假应用程序并执行 OAuth 流程，黑客就可以获取其令牌并访问该用户的数据！

我说得对吗？