问题描述
我正在努力实施 Oidc PKCE 流程。通过 RFC 7636,我对错误响应 4.4.1 下提到的细节有疑问。和第 5 节中的兼容性。
对于错误响应,它指出 如果服务器需要 OAuth 的代码交换证明密钥 (PKCE) 公共客户端和客户端不发送“code_challenge” 请求,授权端点必须返回授权 “error”值设置为“invalid_request”的错误响应。这 “error_description”或“error_uri”的响应应该解释 错误的性质,例如需要代码验证。
如果支持 PKCE 的服务器不支持请求的 转换,授权端点必须返回 “错误”值设置为的授权错误响应 “无效的请求”。 “error_description”或响应 “error_uri”应该解释错误的性质,例如,转换 不支持算法。
对于兼容性,它声明
本规范的服务器实现可以接受 OAuth2.0 未实现此扩展的客户端。如果“code_verifier” 未在授权请求中从客户端收到,服务器 支持向后兼容性恢复到 OAuth 2.0 [RFC6749] 没有这个扩展的协议。
由于 OAuth 2.0 [RFC6749] 服务器响应没有改变 规范,本规范的客户端实现不 需要知道服务器是否已经实现了这个规范 并且应该将第 4 节中定义的附加参数发送到 所有服务器。
那么我们是否需要添加检查来验证 code_verifier 是否存在?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)