使用Google OIDC进行代码流和PKCE

截至2020年8月，最佳实践文件仍在起草并正在积极更新中-最新版本位于此处：https://datatracker.ietf.org/doc/draft-ietf-oauth-security-topics/。谷歌的OAuth2实现尚未应用PKCE“正在进行”的推荐标准，适用于Web应用程序。谷歌在线文档仍指导SPA使用隐式流程：https://developers.google.com/identity/protocols/oauth2/javascript-implicit-flow。
PKCE的标准（https://www.rfc-editor.org/rfc/rfc7636）详细说明其作为移动平台上发现的授权代码拦截攻击的缓解措施，并最初建议由原生客户端实施。谷歌针对“移动和桌面应用程序”的文档确实指示开发人员使用PKCE授权代码流。使用Google Android、iOS或Windows Store凭据类型的客户端可能省略client_secret（请参见刷新令牌参数表中的注释-由Cristiano确认）。现在已经认识到PKCE消除了任何公共客户端存储客户端秘密的需要，因此可以用来废弃隐式流，后者总是存在将访问和身份令牌包含在重定向URI中的缺陷。https://developer.okta.com/blog/2019/05/01/is-the-oauth-implicit-flow-dead。

IETF草案文件在第2.1.1节中指出，这种认识很可能成为一项发布标准。

希望Google在最佳实践被接受后更新其实现，以删除PKCE令牌请求中client_secret的要求。在此期间，似乎我们别无选择，只能继续使用隐式流编写SPA应用程序。

我正在使用OpenID Connect授权码，使用pkce而不使用client_secret在Android应用程序中。我使用这个库：https://github.com/openid/AppAuth-Android。

我只需要确保从清单中使用应用程序的包名称设置自定义方案，并使用它在Google控制台上注册Android凭据。

在我看来，一个好的选择是使用Keycloak作为IDP，然后将Google添加到您的Keycloak实例的委托身份提供者中（然后是Facebook，如果需要的话还可以添加其他idp）。Keycloak可靠地实现了Oauth 2 RFCs中的PKCE流程或任何流程。这意味着您需要一个托管的Keycloak实例。

请注意，谷歌在其OIDC配置端点中提到它支持纯文本和S256作为PKCE代码挑战方法。我刚刚在谷歌上使用代码流测试了使用客户端密钥并在相关的授权步骤中传递code_challenge和code_verifier。
以下是我在撰写时的观察：
1. 如OP所述，仍然需要客户端密钥，否则谷歌会抱怨缺少字段。 2. 如果您发送客户端密钥，谷歌支持PKCE流程。更准确地说： - 如果您传递一个代码挑战和有效的代码验证器，那么您将从令牌端点获取您的令牌。 - 如果您将代码挑战和无效的代码验证器传递给令牌端点，则会收到invalid_grant错误。
为了完整起见，这是如果您在使用客户端凭据和无效的代码验证器的代码流中出现的错误消息：

{
  "error": "invalid_grant",
  "error_description": "Invalid code verifier."
}

所以，如果你只是将代码挑战和验证器与客户端密钥一起发送，你可以使用PKCE来提供额外的安全性。