Почему Azure B2 C требует client_secret при использовании потока кода авторизации с PKCE

Question

Наша команда создает приложение Angular, которое будет использовать B2 C для аутентификации / авторизации, и в этом приложении мы хотели бы построить интеграцию OpenID с использованием потока кода авторизации с PKCE.

Azure B2 C, кажется, поддерживает PKCE, однако по некоторым причинам также требуется, чтобы мы отправляли client_secret при запросе токена доступа. Это правильно? Разве PKCE не должен исключать необходимость хранить секретный клиент c при работе с потоком кода авторизации?

Answer 1

Секрет клиента требуется для веб-приложений, если ваше приложение является собственным, секрет клиента не требуется.

Ссылка:

https://medium.com/the-new-control-plane/using-proof-key-for-code-exchange-pkce-in-azure-ad-b2c-9203fbc148fd

https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-auth-code-flow