Qu'est-ce que le PKCE?
La clé de vérification pour l'échange de codes (PKCE) est une implémentation plus sûre du flux de codes OAuth. La PKCE consiste à utiliser un code_challenge et un code verifier pour la demande d'authentification et l'échange de code afin de prouver que la même application qui lance la demande d'authentification échange le code.
- Le flux de code d'autorisation amélioré par PKCE introduit un secret créé par l'application appelante qui peut être vérifié par le serveur d'autorisation; ce secret est appelé le vérificateur de code. De plus, l'application appelante crée une valeur de transformation du vérificateur de code appelée Code Challenge et envoie cette valeur via HTTPS pour récupérer un code d'autorisation. De cette façon, un attaquant malveillant ne peut intercepter que le code d'autorisation et ne peut pas l'échanger contre un jeton sans le vérificateur de code.
Plus
Consultez également nos articles sur le sujet:
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.