Dicas de postman PKCE - parte 1 Teoria скачать в хорошем качестве

Dicas de postman PKCE - parte 1 Teoria

A autenticação OAuth 2.0 com PKCE é usada principalmente em aplicações móveis e SPA (Single Page Applications) para aumentar a segurança, exigindo múltiplas etapas, como geração de um code_verifier e cálculo de seu hash (code_challenge. Passo a Passo do Pedido (PKCE em ação) Preparando o pedido: Antes de pedir o café, você cria uma senha secreta chamada code_verifier (uma string aleatória). Para garantir a segurança, você transforma essa senha em um code_challenge (um cadeado seguro feito com SHA-256). Fazendo o pedido: Você liga para a Cafeteria e diz: "Quero um café! Aqui está meu cadeado (code_challenge) para proteger o pedido." A Cafeteria registra o cadeado e lhe dá um código de rastreamento. Confirmando o pedido: Para liberar o café, a Cafeteria diz: "Me envie a senha secreta (code_verifier) que corresponde ao cadeado (code_challenge) que você forneceu antes." Você envia a senha secreta, e a Cafeteria verifica se o cadeado e a senha combinam. Entregando o café: Com o pedido confirmado, o entregador traz o café (o token de acesso). Como só você tinha o código correto, o café (ou token) chega com segurança. Por que isso é seguro? Sem o cadeado (code_challenge), ninguém pode fazer um pedido em seu nome. Mesmo que alguém roube o código de rastreamento, ele é inútil sem a senha secreta (code_verifier). Assim, o café chega apenas para você, sem risco de interceptação. Resumo Técnico da Analogia O code_challenge é como enviar o cadeado antes de fazer o pedido. O code_verifier é a chave secreta que abre o cadeado. O fluxo PKCE garante que apenas quem possui o code_verifier pode obter o token, mesmo que o código de rastreamento seja roubado.