"OAuth 2.1 与 OIDC 登录流程与安全实践"

OAuth 2.1 与 OIDC 登录流程与安全实践授权请求（含 PKCE）GET /authorize?response_type=code&client_id=app&redirect_uri=https://app/callback&scope=openid%20profile%20email&state=xyz&nonce=abc&code_challenge=<S256>&code_challenge_method=S256 令牌交换（携带 code_verifier）POST /token grant_type=authorization_code&code=<code>&redirect_uri=https://app/callback&client_id=app&code_verifier=<verifier> ID Token 与会话验证签名与 `aud`、`iss`、`exp`校验 `nonce` 与回调时的 `state`按最小权限保存访问令牌，设置合理有效期安全要点全程使用 HTTPS，避免令牌泄露使用 `SameSite=Lax` 的回调页 Cookie 降低 CSRF 风险对登出与刷新流程进行显式处理总结在授权码 + PKCE 与 OIDC 的组合下，既可获得安全性又保持良好的兼容与用户体验。