В настоящее время я работаю над реализацией гранта авторизации кода oauth 2.0 с PKCE на странице SSR (работа с React спереди и Express сзади).
У меня есть вопрос. Где я должен хранить code_verifier, когда клиент запрашивает код сервера авторизации (когда сервер авторизации создает code_challenge и code_verifier для проверки последнего). У меня есть сервер авторизации, работающий в независимом стеке / инфраструктуре.
Я должен хранить code_verifier в req.headers?
(см. ниже).
https://tools.ietf.org/html/draft-campbell-oauth-tbpkce-00
Мы следуем этим RFC
https://tools.ietf.org/html/rfc6749
С уважением.