Verschil Native & Browser-based clients

Question

Verschil Native & Browser-based clients

Closed this issue 2 months ago · 1 comments

In sect 2.3.1 start de volgende zin: Native clients MUST apply PKCE, as per RFC7636.

Dit is niet compleet. RFC7636 geeft aan dat public clients PKCE moeten gebruiken.
Public clients zijn:

Browser based clients
Native clients welke niet per instance zijn geregistreerd met een eigen client_id.

Definitie public client in OAuth 2.0 specificatie (sectie 2.1):
Clients incapable of maintaining the confidentiality of their
credentials (e.g., clients executing on the device used by the
resource owner, such as an installed native application or a web
browser-based application), and incapable of secure client
authentication via any other means.

Answer 1 · 2020-04-16T17:33:21.000Z

Het is inmiddels een security best practice voor alle clients die gebruik maken van de authorization grant om PKCE te gebruiken.
In de aanstaande OAuth versie, versie 2.1, staat dat ook in de standaard.
OAuth versie 2.1 brengt overigens niets nieuws, het documenteert slechts de huidige stand van zaken in de OAuth standaarden.
Zie o.a. hier https://oauth.net/2.1/