Hello all,
I’m new to the oauth2-basic plugin and after reading the docs and source code, I cannot find an answer to my question.
- Does the oauth2-basic plugin support pkce?
- If so, how can I enable that?
- If not, how might I modify the oauth2-basic plugin code to use pkce?
The omniauth github page README says that I should be able to set the pkce option to true in my omniauth strategy. However, I have attempted this change in the oauth2-basic plugin code and no code challenge is being sent to my authorize_url. Any suggestions?
Thanks in advance
3 curtidas
Reativando este tópico, pois uma comunidade que auxilio está solicitando suporte para PKCE.
Antes de me perguntarem sobre isso, eu ainda não tinha visto nada a respeito, mas olhando a documentação para isso, parece que o principal impulsionador para isso são aplicativos nativos e SPAs:
Aplicativos nativos
- Não podem armazenar um segredo do cliente com segurança. A descompilação do aplicativo revelará o segredo do cliente, que está vinculado ao aplicativo e é o mesmo para todos os usuários e dispositivos
- Podem usar um esquema de URL personalizado para capturar redirecionamentos (por exemplo, MyApp://), permitindo potencialmente que aplicativos maliciosos recebam um Código de Autorização do seu Servidor de Autorização
Aplicativos de página única
- Não podem armazenar um segredo do cliente com segurança porque todo o seu código-fonte está disponível para o navegador
Nenhum dos quais é aplicável a esta situação; é o servidor Discourse que detém o segredo.
