PKCE в OpenIddict работает как на любом другом сервере OIDC: вам просто нужно отправить code_challenge (и, возможно, code_challenge_method) при создании запроса авторизации.
Если вы сделаете это, OpenIddict будетсохраните его в билете с кодом авторизации и сравните его с code_verifier, который вы отправите как часть запроса токена.Если вы не отправите верификатор кода, запрос токена будет автоматически отклонен.
В версии 3.0 мы представим опцию, позволяющую отклонять запросы авторизации, не использующие PKCE, чтобы вы могли принудительноклиенты используют PKCE.