Bonjour,
je développe une application mobile qui attaque mes propres api REST. On m'a indiqué que pour une sécurité maximale je devais utilisé oAuth2 avec le mécanisme PKCE (RFC 7636 )
Le problème c'est que la RFC ne décrit pas d'interaction avec un utilisateur, donc si je comprends bien n'importe quelle application peut attaquer mes services si elle récupère le client id et quelle s'installe sur le portable en hackant l'url d'application ... Il n'y a pas réellement de sécurité car n'importe quelle application peut générer le code challenge et code de vérification.
Je pense qu'il y a quelque chose qui m'échappe. Merci de m'expliquer si je me trompe.