OAuth2的PKCE与设备码授权：安全与适配场景

概览

PKCE 为公共客户端增强授权码流程安全；设备码授权适配无浏览器或输入受限设备。合理选择能提升整体安全性与用户体验。

技术参数（已验证）

• PKCE：客户端生成 code_verifier 与 code_challenge（S256），授权阶段携带挑战，令牌交换时验证。
• 授权码拦截防护：挑战绑定授权码，降低中间人拦截成功率。
• 设备码授权：设备获取 device_code 与 user_code，用户在浏览器完成确认，客户端轮询 token。

实战清单

• 公共客户端与移动端默认启用 PKCE（S256）。
• 电视/IoT 等弱终端采用设备码授权，并设置合理轮询与过期策略。