Я пытаюсь использовать функции OAuth2 в CAS 6.1.4, в частности вариант обмена кодами пробных ключей (PKCE) с типом authorization_code : я все настроил и authorization_code работает как в базовой форме c, так и в варианте PKCE.
Однако кажется, что client_secret параметр запроса должен быть предоставлен даже при использовании Вариант PKCE - я не нашел способ избежать этого. Это кажется нелогичным, поскольку PKCE был представлен для клиентов publi c, которые не могут безопасно хранить секрет клиента. Спецификации RCF 7636 и документация на сайте Apereo ничего не говорят о том, должен ли запрос authorization_code аутентифицироваться секретом клиента.
Пожалуйста, скажите мне, если я что-то упускаю.