Чем отличается Authorization Code Flow с PKCE от других вариантов?

Authorization Code Flow с PKCE отличается от других вариантов тем, что предназначен для аутентификации публичных клиентских приложений (например, нативных и мобильных). kinde.com

Этот поток использует доказательство обмена ключом (PKCE), который применяется для публичных клиентов, потому что у них нет секрета, и они не могут самостоятельно пройти аутентификацию. kinde.com

Основное отличие заключается в том, что PKCE заменяет секрет клиента, используемый в стандартном Authorization Code Flow, на одноразовый код вызова (code challenge). blog.postman.com Это значит, что клиентскому приложению не нужно хранить секрет клиента. blog.postman.com

При использовании Authorization Code Flow с PKCE клиент генерирует случайное значение (codeverifier) и вычисляет хэш (codechallenge). cloudentity.com Затем клиент передаёт codechallenge на конечную точку авторизации. cloudentity.com При обмене токеном клиент отправляет codeverifier на сервер авторизации. cloudentity.com Сервер пересчитывает хэш и проверяет, соответствует ли он исходному code_challenge, чтобы проверить идентичность клиента. cloudentity.com