RFC 7636: 証明キー for コード交換

www.rfc-editor.org/rfc/rfc7636

PKCE (RFC 7636) は、承認コードフローへの拡張機能で、CSRF と承認コードインジェクション攻撃を防ぎます。

PKCE はクライアント認証の形式ではなく、PKCE はクライアントシークレットや他のクライアント認証（private_key_jwt のような クライアント認証）の置き換えではありません。PKCE は、クライアントがクライアントシークレットやその他の形式のクライアント認証を使用している場合でも推奨されます。

注: PKCE はクライアント認証の置き換えではないため、パブリッククライアントを機密クライアントのように扱うことはできません。

PKCE はもともとモバイルアプリの承認コードフローを保護するように設計されましたが、承認コードインジェクションを防ぐ機能により、クライアント認証を使用する Web アプリなど、あらゆるタイプの OAuth クライアントに役立てることができます。

動画

• OAuth と OIDC の新機能 (8:22)
• 機密クライアントとパブリッククライアントの違いは何ですか?
• 暗黙的フローで何が起こっているのでしょうか?

ツール

• OAuth 2.0 Playground での PKCE (oauth.com)
• PKCE コードチャレンジジェネレーター (example-app.com)
• PKCE コードジェネレーター (developer.pingidentity.com)

その他のリソース

• PKCE (oauth.com)
• モバイルアプリ (aaronparecki.com)
• モバイル & デスクトップアプリの OAuth 2.0 (developers.google.com)
• ネイティブアプリとモバイルアプリの OAuth 2.0 (developer.okta.com 著者: Micah Silverman)
• OAuth 2.0 の PKCE についてすべて (loginradius.com 著者: Narendra Pareek)