让我们想象以下内容:
第三步使我很难理解这一点。如果它被认为是客户端应用程序,那么将如何遵循整个代码流程来保护我们免受任何攻击,因为大多数事情都是可见的(移动应用程序是公共客户端,没有反向渠道)
[如果它被认为是资源所有者,那么这是否意味着我必须抽出一个完整的专用后端,该后端与我的API分开,与我的授权服务器分开,并且仅针对移动应用程序(它将是“客户端应用程序”)?
[如果有人可以对此有所启发,请告诉我。标题不是很正确,如果可以对其进行编辑以更好地适应该问题,我将非常感谢。
您的移动应用程序是客户端应用程序-在授权服务器中配置了信任条目。 PKCE通过移动应用程序工作,生成用于2条消息的运行时机密:
请参阅my write up中的步骤4、7和8以了解PKCE消息
移动OAuth涉及集成AppAuth库,这并不容易,尽管一旦完成,您将拥有最佳的安全性和可用性。
我有一个示例Android应用程序,并编写了可以轻松运行here的代码
iOS上的行为类似-希望这有助于您阐明要求。