前言 PKCE （RFC 7636） 是授权代码流的扩展，用于防止 CSRF 和授权代码注入攻击。 PKCE 不是客户端身份验证的一种形式，PKCE 不能替代客户端密码或其他客户端身份验证。即使客户端使用客户端密码或其他形式的客户端身份验证（如 private_key_jwt），也建议使用 PKCE。 注意：由于PKCE不能替代客户端身份验证，因此它不允许将公共客户端视为机密客户端。