有没有一种安全的方法可以100%根据web-api验证桌面应用程序的身份？

Question

我们使用PKCE的身份验证代码流来根据我们的本机应用程序(WPA)和一些web apis对用户进行身份验证。在我们的web-apis中有没有额外的方法来验证这个本地应用程序的身份，或者PKCE的身份验证码流对于这种情况是否足够安全？

提前感谢

Answer 1

据我所知，没有办法验证应用程序本身。如果请求是从我的网络中的设备发起的，我可以捕获该请求以及访问令牌。然后，一旦我有了访问令牌，我就可以从我编写的应用程序中进行调用，而您的后端将无法知道其他情况。

您只能验证用户，因为身份提供程序已在用户通过身份验证后为其颁发了签名令牌。在后端，您需要检查用户对他们试图访问的资源的访问权限。