PKCE与RSA双向

Question

PKCE能否同时使用服务器和客户端来生成公钥和私钥？值得吗？我认为这种流动：

server

• Server

• 客户端生成私钥和公钥

• 客户端将公钥发送给服务器

• Server生成私钥和公钥，生成随机密钥并与客户端加密秘密公钥

• Server将其发送回客户端加密秘密，服务器公钥

H 19客户端用其密钥解密密钥，用服务器公钥再次加密，并使用其私钥将加密的秘密发送回

• 解密秘密，并检查生成的和现在解密的秘密是否相同H 212G 213

我是不是遗漏了什么？这样做不好吗？这个加密/解密/生成密钥很难计算吗？

Answer 1

您的算法似乎与PKCE标准一样安全。我不认为加密随机字符串有什么额外的价值。您还向服务器添加了一次往返，就像在PKCE中一样，生成初始随机字符串的是客户机。

加密会消耗资源，实现错误很简单。您还需要对服务器和客户端加密算法的支持。因此，我认为尝试将加密添加到经过验证的标准中是多余的。