PKCE是否取代了客户端机密？

Question

以下是一个更直接的“是”或“否”问题

PKCE与客户秘密

OAuth2客户端秘密的目的是什么？

在授权代码OAuth流中，PKCE是否替换状态？

PKCE到底在保护什么？

我假设答案是基于上面的“是”，所以只需要client_id，并且秘密生成是由客户端通过他们的代码验证器管理的。不过，如果是这样的话，为什么谷歌仍然会在他们的OAuth 2.0客户端I中使用客户端机密(除非它们等同于无机密的客户机I，否则它们就是API密钥，我还没有验证它是它们的PKCE)。

Answer 1

对于机密客户端(即可以确保客户端凭据安全的客户端)，即使使用PKCE，客户端机密仍然具有价值。它们防止其他客户冒充您的客户。

对于公共客户端(无法使用已注册客户端机密的客户端)，使用客户端机密没有优势。