Hello all,
I’m new to the oauth2-basic plugin and after reading the docs and source code, I cannot find an answer to my question.
- Does the oauth2-basic plugin support pkce?
- If so, how can I enable that?
- If not, how might I modify the oauth2-basic plugin code to use pkce?
The omniauth github page README says that I should be able to set the pkce option to true in my omniauth strategy. However, I have attempted this change in the oauth2-basic plugin code and no code challenge is being sent to my authorize_url. Any suggestions?
Thanks in advance
3 Mi Piace
Sto riproponendo questo argomento poiché una community che assisto sta richiedendo il supporto per PKCE.
Prima che mi venisse chiesto, non avevo ancora visto nulla a riguardo, ma esaminando la documentazione sembra che il motore principale di questo sia per le app native e le SPA:
App native
- Non possono archiviare in modo sicuro un segreto client. La decompilazione dell’app rivelerà il segreto client, che è associato all’app ed è lo stesso per tutti gli utenti e dispositivi
- Possono utilizzare uno schema URL personalizzato per acquisire i reindirizzamenti (ad esempio, MyApp://) consentendo potenzialmente alle applicazioni dannose di ricevere un codice di autorizzazione dal tuo server di autorizzazione.
Single-page app
- Non possono archiviare in modo sicuro un segreto client poiché l’intero loro codice sorgente è disponibile per il browser
Nessuna delle due opzioni è applicabile a questa situazione; è il server Discourse che detiene il segreto.
