OAuth 2.1 与 OIDC 实战（授权码流、PKCE、刷新令牌安全）

OAuth 2.1 与 OIDC 实战（授权码流、PKCE、刷新令牌安全）概述OAuth 2.1 将推荐实践内化为规范，强调使用授权码流 + PKCE、同站策略与安全重定向。结合 OIDC 可获取标准化身份信息。关键实践与参数授权码流 + PKCE：前端生成 `code_verifier` 与 `code_challenge`（S256），回调时附带验证以防拦截。OIDC 标准声明：使用 `nonce` 防重放，`state` 防 CSRF，Scopes 包含 `openid profile email`。刷新令牌安全：绑定客户端与设备指纹；设置旋转与一次性刷新策略。配合 `IdP` 的撤销端点与黑名单机制。重定向白名单：`redirect_uri` 必须完全匹配；禁止通配符与开放重定向。验证方法结合认证服务器日志与审计，验证 PKCE 绑定与重放防护。通过回归测试确保 `nonce/state` 正常校验与异常流程处理。漏洞扫描（Open Redirect、Token 泄露、Scope 越权）。注意事项对公用浏览器环境避免隐式流；优先授权码流。令牌存储建议使用 `HttpOnly`、`Secure` Cookie 并启用 `SameSite`。对移动端使用 ASWebAuthenticationSession 等系统级 WebAuth。