allowing the authorization server to verify that the app requesting the access token is the same one that initiated the OAuth flow
やっぱりこれだけがPKCEの本質なのであって、リクエストをinitiateした主体がclient_idの所有者であるということはなにも保証しない、はず。
Taiju Muto
@tai2
allowing the authorization server to verify that the app requesting the access token is the same one that initiated the OAuth flow
やっぱりこれだけがPKCEの本質なのであって、リクエストをinitiateした主体がclient_idの所有者であるということはなにも保証しない、はず。