Защищенное собственное приложение OAuth2 Code Flow + PKCE

Question

Я изучаю формы для защиты логина собственного приложения и нашел его: https://auth0.com/docs/flows/concepts/auth-code-pkce.

Ну, я понимаю, что это небезопасный поток кода использования в собственном приложении, потому что пользователь может декомпилировать приложение и получить секрет клиента. С секретным клиентом пользователь может вызвать сервер авторизации в любое время, например, почтальон.

Я не вижу, как может быть лучше добавить PKCE (верификатор кода и вызов кода). Думая как злоумышленник, я могу сгенерировать пару PKCE и симулировать то же самое, что и приложение, потому что у меня есть секрет клиента, для меня PKCE просто дает больше работы злоумышленнику.

Я могу создать вызов кода и код проверять случайным образом, отправлять запрос кода на сервер авторизации и использовать мой верификатор кода для получения токена запроса.

Answer 1

Как правило, основная защита заключается в том, что ответы на авторизацию возвращаются только на принадлежащий вам URL. Для веб-интерфейса это будет URL-адрес на основе домена, например:

• https://mycompany.com/myapp

Возможно, хотя сложно использовать заявленные Схемы https для мобильного приложения, хотя почти никто не использует его из-за отсутствия поддержки поставщика / браузера.

Для пользовательских схем URL-адресов надежда состоит в том, что среда (одобрение App / Play store) предотвращает злонамеренное использование. третье лицо, зарегистрировавшее такой URL-адрес без подтверждения при регистрации, что оно принадлежит «моей компании»:

• com.mycompany.myapp: / callback

Вы являетесь верно, что здесь есть потенциальный пробел, хотя я не слышал о каких-либо подвигах реального мира.