아직도 모바일 앱이나 SPA(Single Page Application)에서 client_secret 을 하드코딩하거나, 보안이 취약한 Implicit Flow를 사용하고 있다면 당장 멈춰야 한다. 당신의 인가 코드(Authorization Code)는 가로채질 위험에 처해 있다. OAuth 2.1 초안부터 모든 클라이언트에게 필수로 권장되는 PKCE(…

「正しくOAuth 2.0を実装したはずなのに、ユーザーのアカウントが乗っ取られた」。これは悪夢のような話ですが、モバイルアプリやSPA（Single Page Application）において、古い認証フローを使い続けていると実際に起こりうる現実です。 PKCE（ピクシー / Proof Key for Code Exchange）とは、OAuth 2.0の認可プロセスにおいて、リクエスト…