3

我们的团队正在构建一个 Angular 应用程序,它将使用 B2C 进行身份验证/授权,在这个应用程序中,我们希望使用 PKCE 的授权代码流来构建 OpenID 集成。

Azure B2C 似乎支持 PKCE,但由于某种原因,它还要求我们在请求访问令牌时发送 client_secret。这个对吗?在处理授权代码流时,PKCE 不应该消除对静态客户端密码的需求吗?

4

1 回答 1

1

Web 应用程序需要客户端密码,如果您的应用程序是本机应用程序,则不需要客户端密码。

在此处输入图像描述

参考:

https://medium.com/the-new-control-plane/using-proof-key-for-code-exchange-pkce-in-azure-ad-b2c-9203fbc148fd

https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-auth-code-flow

于 2020-04-01T02:13:22.260 回答