Как PKCE защищает процесс получения токенов доступа в OAuth 2.0?

PKCE (Proof Key for Code Exchange) защищает процесс получения токенов доступа в OAuth 2.0, предотвращая перехват авторизационных кодов вредоносными приложениями. blog.logto.io

Механизм работает так: tproger.ru

1. Клиент генерирует случайную последовательность байт (codeverifier) и вычисляет её хэш (codechallenge). tproger.ru habr.com
2. При запросе авторизации клиент передаёт code_challenge серверу, который его запоминает. tproger.ru habr.com
3. При обмене авторизационного кода на токены клиент отправляет исходный codeverifier, а сервер проверяет его соответствие ранее переданному codechallenge. tproger.ru habr.com

Таким образом, PKCE гарантирует, что токен доступа может получить только оригинальное клиентское приложение, которое инициировало запрос. blog.postman.com www.authgear.com