OIDC + PKCE flow
Интерактивное демо «OIDC + PKCE flow» — раздел Энциклопедия · Инфраструктура и безопасность.
Authorization Code + PKCE
Безопасный OAuth 2.0 для SPA и mobile — без client secret в браузере
1. /authorize
code_challenge=S256(verifier), redirect_uri, scope
PKCE: code_verifier хранится только на клиенте; перехват authorization code без verifier бесполезен.