OAUTH-PKCE
OAuth Authorization Code sécurisé public.
Définition
PKCE génère code_verifier (random 43-128 chars) et code_challenge = SHA256(verifier) base64url. Le client envoie code_challenge à authorization, puis code_verifier à token endpoint. Le serveur vérifie SHA256. Obligatoire en OAuth 2.1.
Origine
RFC 7636 publiée septembre 2015 par Nat Sakimura, John Bradley, Naveen Agarwal.
Exemple en contexte
Une app mobile EDI consomme une API B2B via Authorization Code + PKCE, sans secret client embarqué.
Termes liés
- OAuth 2.1 — obligatoire dans.