经过反复试验后,我觉得Google OIDC在不提供客户端密码的情况下不支持代码流:https://developers.google.com/identity/protocols/oauth2/native-app#exchange-authorization-code
根据SPA(https://tools.ietf.org/html/draft-ietf-oauth-security-topics-13)的最新最佳实践,建议使用代码流+ PKCE处理身份验证。有谁知道使Google代码流接受code_challenge而不是client_secret所需的任何技巧?也许是一个假的秘密?
嗯,我在使用以下lib的android应用中不使用client_secret来使用带有pkce的openId Connect授权代码:[>
我只需要确保使用清单中的应用程序包名称来设置自定义方案,并使用它在Google控制台上注册android凭据。