当使用PKCE为Angular应用实现认证代码流时,我们需要安全地存储客户端ID吗?和发行人? 如果可以,如何做到呢?因为如果我把它存储为环境变量并动态生成环境。ts文件(包含客户端id)和发行人)这些值仍然可以在浏览器中访问,因为prod构建的环境文件可以在浏览器中访问。
公开客户端ID和颁发者是否存在安全威胁?
根据规范本身:https://datatracker.ietf.org/doc/html/rfc6749#section-2.2,客户端ID不是一个秘密设计,所以没有必要保护它。