OAuth 2.0 PKCE：SPA 的授权码最佳实践

--- title: "OAuth 2.0 PKCE：SPA 的授权码最佳实践" keywords: - OAuth2 - PKCE - 授权码 - SPA - code_verifier - code_challenge description: "阐述 PKCE 在浏览器/移动端公共客户端中的作用与防护能力，结合授权码流程给出参数使用与安全注意事项。" categories: - 文章资讯 - 技术教程 --- # 概述 PKCE（Proof Key for Code Exchange，RFC 7636）通过 `code_verifier/code_challenge` 防止授权码拦截攻击，适用于无法安全保存客户端密钥的公共客户端（SPA/原生应用）。 # 流程与参数 - 在授权请求中携带 `code_challenge`（通常为 `S256`）与 `code_challenge_method`。 - 在令牌请求中携带原始 `code_verifier`，服务端校验其与 `code_challenge` 的映射，防止拦截者仅凭授权码换取令牌［参考3,4］。 # 最佳实践 - SPA 等公共客户端采用“授权码 + PKCE”，避免隐式模式；后端交换令牌时仍可配合客户端认证（如机密客户端）。 - 使用 `S256` 而非 `plain`；随机高熵 `code_verifier`；校验 `redirect_uri` 严格匹配。 # 参考与验证 - ［参考1］OAuth 中文站：PKCE 适用性与防授权码注入说明：https://oauth.ac.cn/2/pkce/ - ［参考2］技术文章：OAuth2 授权码流程与 Auth0 流程图参考：https://jiajunhuang.com/articles/2022_10_08-oauth2_explained.md.html - ［参考3］博客园：PKCE 扩展与参数解释（code_challenge/code_verifier）：https://www.cnblogs.com/myshowtime/p/15555538.html - ［参考4］Auth0：授权码 + PKCE 流最佳实践与说明：https://auth0.com/docs/get-started/authentication-and-authorization-flow/authorization-code-flow-with-pkce # 关键词校验 关键词覆盖 OAuth2/PKCE/授权码 与 SPA 场景，与正文一致。