Olá a todos,
Sou novo no plugin oauth2-basic e, após ler a documentação e o código-fonte, não consegui encontrar uma resposta para minha pergunta.
- O plugin oauth2-basic suporta PKCE?
- Se sim, como posso habilitá-lo?
- Se não, como posso modificar o código do plugin oauth2-basic para usar PKCE?
A página README do Omniauth no GitHub diz que deveria ser possível definir a opção pkce como true na minha estratégia Omniauth. No entanto, tentei fazer essa alteração no código do plugin oauth2-basic e nenhum desafio de código está sendo enviado para minha authorize_url. Alguma sugestão?
Obrigado antecipadamente
Reativando este tópico, pois uma comunidade que auxilio está solicitando suporte para PKCE.
Antes de me perguntarem sobre isso, eu ainda não tinha visto nada a respeito, mas olhando a documentação para isso, parece que o principal impulsionador para isso são aplicativos nativos e SPAs:
Aplicativos nativos
- Não podem armazenar um segredo do cliente com segurança. A descompilação do aplicativo revelará o segredo do cliente, que está vinculado ao aplicativo e é o mesmo para todos os usuários e dispositivos
- Podem usar um esquema de URL personalizado para capturar redirecionamentos (por exemplo, MyApp://), permitindo potencialmente que aplicativos maliciosos recebam um Código de Autorização do seu Servidor de Autorização
Aplicativos de página única
- Não podem armazenar um segredo do cliente com segurança porque todo o seu código-fonte está disponível para o navegador
Nenhum dos quais é aplicável a esta situação; é o servidor Discourse que detém o segredo.
