- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.secret을 안보내도 된다는것 자체가 약간은 의아해서 질문드립니다. PKCE, 인가코드만 있어도, challenge, verifer 를 통해서, 인가서버로 요청하는 client 가 위조되었을 가능성이 낮기 때문에 secret을 안보내도 되도록 허용하는 것인가요?&nbsp;인가 코드를 탈취당해도, PKCE를 통해서 client 가 challenge, verifier 를 통해서 알 수 있으니까..? &nbsp;

네PKCE 는 인가코드와는 별도로 해시된 암호화 데이터기 때문에 비록 secret 이 없어도 보안을 강화하는 방법으로 쓰여집니다그래서 인가코드가 탈취되더라도 PKCE 가 함께 인가서버로 전달되지 않으면 토큰을 획득할 수 없게 됩니다물론 secret 이 함께 전달되면 훨씬 더 보안상 강력해 지긴 합니다

인프런 커뮤니티 질문&답변

25:00 PKCE 관련 질문 있습니다.