---

title: OAuth 2.1 与 OIDC 登录流程与安全实践

keywords:

• OAuth 2.1
• OIDC
• PKCE
• 授权码
• state 与 nonce

description: 采用授权码 + PKCE 与 OIDC 构建登录流程，覆盖参数校验、令牌处理与安全要点。

categories:

• 文章资讯
• 技术教程

---

OAuth 2.1 与 OIDC 登录流程与安全实践

授权请求（含 PKCE）

GET /authorize?response_type=code&client_id=app&redirect_uri=https://app/callback&scope=openid%20profile%20email&state=xyz&nonce=abc&code_challenge=<S256>&code_challenge_method=S256

令牌交换（携带 code_verifier）

POST /token
grant_type=authorization_code&code=<code>&redirect_uri=https://app/callback&client_id=app&code_verifier=<verifier>

ID Token 与会话

• 验证签名与 aud、iss、exp
• 校验 nonce 与回调时的 state
• 按最小权限保存访问令牌，设置合理有效期

安全要点

• 全程使用 HTTPS，避免令牌泄露
• 使用 SameSite=Lax 的回调页 Cookie 降低 CSRF 风险
• 对登出与刷新流程进行显式处理

总结

在授权码 + PKCE 与 OIDC 的组合下，既可获得安全性又保持良好的兼容与用户体验。