OAuth2 Auth Code with PKCE是一种可用于SPAs、web应用程序和web API的协议。我想知道,有没有什么情况下;经典的";是否应该使用Auth Code(不带PKCE(?根据我的理解,PKCE扩展是Auth代码流的一个演变,它可以完全取代"认证";经典的";一
不使用OAuth2 authorization_code WITH PKCE的一个原因是,目前(2020年12月(,有授权服务器不支持它,也有客户端库不支持它。因此,根据您使用的库和服务器,您可能无法使用它。但是,如果您可以使用它,无论是用于公共客户端还是机密客户端,最佳实践表明您应该(参见https://datatracker.ietf.org/doc/html/draft-ietf-oauth-security-topics-16#section-2.1.1(