我可以将 IdentityServer3 授权代码流与 PKCE 一起使用并且没有客户端密码吗?
Can I use IdentityServer3 Authorization Code Flow with PKCE and no client secret?
我希望扩展我们的 ID 服务器实例以支持移动应用程序,并希望将授权代码流与 PKCE 一起使用。由于这是一个 public 客户端,我不希望将秘密存储在应用程序上,但 ID3 似乎需要一个秘密。任何人都可以确认这一点,就好像我可能需要考虑将 ID3 升级到 ID4,这会影响我的时间表?
亲切的问候,
最后建设者
为 public 客户端指定一个密码不是代码 + PKCE 流程的问题。在那种情况下 it's just a rudiment,很难增加更多的安全性。这就是为什么他们引入了一个选项来完全关闭它。
我希望扩展我们的 ID 服务器实例以支持移动应用程序,并希望将授权代码流与 PKCE 一起使用。由于这是一个 public 客户端,我不希望将秘密存储在应用程序上,但 ID3 似乎需要一个秘密。任何人都可以确认这一点,就好像我可能需要考虑将 ID3 升级到 ID4,这会影响我的时间表?
亲切的问候, 最后建设者
为 public 客户端指定一个密码不是代码 + PKCE 流程的问题。在那种情况下 it's just a rudiment,很难增加更多的安全性。这就是为什么他们引入了一个选项来完全关闭它。