Я понимаю, что в настоящее время рекомендуется использовать PKCE с общедоступными клиентами:
Примечание. Ранее было рекомендовано, чтобы приложения на основе браузера использовали поток "Implicit", который возвращает доступтокен немедленно и не имеет шага обмена токеном.За время, прошедшее с тех пор, как спецификация была изначально написана, передовая отраслевая практика изменилась, чтобы рекомендовать использовать поток кода авторизации без секрета клиента.Это дает больше возможностей для создания защищенного потока, например, с использованием расширения PKCE.
Но я не совсем понимаю, является ли WebView для Android / iOS общедоступным клиентом.Чтобы было ясно: это гибридное приложение.Так что у меня есть доступ к некоторым встроенным функциям.Среди прочего хранилище ключей.Но основное приложение состоит только из HTML-страниц, отображаемых с помощью javascript, встроенного в WebView.
Является ли WebView уязвимым, например, для атак XSS?Я немного смущен всем этим.