Блог

Код аутентификации OAuth2 с PKCE — это протокол, который может использоваться для SPA, веб-приложений, веб-API. Интересно, есть ли какой-либо случай, когда следует использовать «классический» код аутентификации (без PKCE)? Насколько я понимаю, расширение PKCE — это эволюция потока кода аутентификации, и оно может полностью заменить «классический».

Одна из причин НЕ использовать OAuth2 authorization_code С PKCE заключается в том, что в настоящее время (декабрь 2020 года) существуют серверы авторизации, которые его не поддерживают, а также клиентские библиотеки, которые его не поддерживают. В результате, и в зависимости от используемых вами библиотек и серверов, вы можете быть не в состоянии его использовать. Однако, если вы можете использовать его, будь то для публичных или конфиденциальных клиентов, в соответствии с рекомендациями вам следует (см. https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics-16#section-2.1.1 )