inseo24/pkce-test

pkce-test

• 키클록을 이용해 Authorization Code Flow 로 Code / Token Request 하는 방법

  • 위 링크의 README.md 에서 토글을 열어서 확인하면 된다 ^ㅠ^ 나 열심히 썼따 인정해라

• 키클록 요청 시 참고하기 좋은 자료 - 포스트맨으로 요청할 때 필요한 거 다 모여 있음

• 키클록에서 PKCE를 써보자

• 키클록에서 해당 클라이언트에 원하는 개인정보만 받게 세팅해보자 + Client Scope 추가 방법

• Regular SSO, 하나의 클라이언트에서 로그인 시 같은 realm 안의 다른 클라이언트에도 유저의 세션이 공유된다

• 읽어볼 링크

  • auth0에서 작성한 PKCE 가이드
  • auth0에서 작성한 auth-code flow 가이드

기타 학습

• nonce : Number used ONCE, 일회용으로 사용하기 위해 생성하는 난수

  • nonce 자체는 키클록에서 생성하는게 아니라, 클라이언트에서 생성하고 요청에 포함함
  • 재전송 방지 목적

• state : CSRF(Cross-Site Request Forgery) 공격 방지, 클라이언트 생성하고 OAuth2 인증 프로세스 내내 유지

  • 일반적으로 난수와 함께 시간 정보나 사용자 세션 같은 추가 정보를 사용해 생성