「应用安全」OAuth和OpenID Connect的全面比较(43)
RFC 7636的整个流程在Authlete的网站上进行了说明:代码交换的证明密钥(RFC 7636) 。 如果您有兴趣 , 请阅读 。
10.2 服务器端实现
在授权端点的实现中 , 授权服务器必须做的是将授权请求中包含的code_challenge参数和code_challenge_method参数的值保存到数据库中 。 因此 , 实现代码中没有任何有趣的内容 。 需要注意的是 , 想要支持PKCE的授权服务器必须将code_challenge和code_challenge_method的列添加到存储授权码的数据库表中 。
Authlete的完整源代码是保密的 , 但是为了您的兴趣 , 我在这里向您展示了实际的Authlete实现 , 它验证了令牌端点处code_verifier参数的值 。
private void validatePKCE(AuthorizationCodeEntity acEntity)
{
// See RFC 7636 (Proof Key for Code Exchange) for details.
// Get the value of 'code_challenge' which was contained in
推荐阅读
- 三国杀|Win 11也能运行安卓应用,流畅度秒杀模拟器,不信你来试试?
- 游戏版号|解决游戏安全问题刻不容缓,腾讯《白皮书》呼吁共建共治
- 宿舍|“宿舍安全检查在男寝搜出来了32个望远镜,又在女寝搜出来”
- 百里守约|队友选什么英雄最有安全感?玩家:百里守约!看到原因我笑了
- 鱿鱼游戏|《鱿鱼游戏》不仅绿衣人会死,粉衣人也不安全,他们也并不想害人
- 原神|腾讯米哈游达成共识,原神官服上架应用宝,真的三七分账了?
- 地下城与勇士|DNF:国服最安全的账号,放着也没人敢盗,上个盗他号的才出狱
- 单机|Poppy评RNG队员:Wei最认真,Cryin总能给人安全感
- 王者荣耀|王者荣耀防沉迷系统再次升级 未成年应用商店怒打一星差评泄愤
- 王者荣耀|王者荣耀:没有未成年玩家后,安全裤也不用加长了,玩家直呼漂亮