PKCE란? proof key for code exchange OAuth2에서 Authorization code flow 를 더 안전하게 만들기 위해 고안된 보안 메커니즘 Authorization Code Flow 의 문제점Authorization Code Flow는 앱이 사용자에게 로그인 페이지를 열고로그인 후 code를 redirect로 전달받고그 code를 가지고 서버에서 토큰을 받아오는 구조→ 이 과정에서code가 노출되면 해커가 가로채서 토큰을 받아갈 수 있음모바일 앱이나 SPA는 client_secret을 숨기기 어려움브라우저 히스토리, 네트워크 로그 등에서 탈취 가능어떻게 PKCE가 해결 할까?앱이 인증 요청할 때 "나는 이 인증 코드를 요청한 진짜 앱이다" 라는 증명(Proof)를 같이 보..
