Authentication OpenID连接混合流仅用于身份验证

我有一个移动应用程序，我想使用OpenId Connect对外部身份验证提供商的用户进行身份验证。我只需要id_令牌来获取用户的电子邮件地址，至少目前我不需要访问令牌

使用混合流时，我在前端通道上执行第一个请求，并设置响应类型=代码id\u令牌，是否存在任何漏洞？

---

如果/当我打算使用访问令牌时，我计划将代码发送到后端，以交换访问令牌。我只是不确定在前端频道上检索id_令牌时是否存在任何漏洞。

移动应用程序的标准流程应该是使用response_type=代码重定向，如的步骤8所示

然后，您只获得一个授权码，并执行授权码授权消息以获取令牌。是否获取访问令牌应在授权服务器的客户端条目中进行配置

您应该使用PKCE参数，这样，如果令牌碰巧截获了授权代码，那么任何人都无法获得令牌

如果无法阻止返回访问令牌，则可以从内存中丢弃它