私は現在、SSR ページで PKCE を使用した oauth 2.0 コード認証付与に取り組んでいます (前面に React、背面に Express を使用しています)。
code_verifierクライアントが認可サーバーのコードにリクエストするとき (認可サーバーが後者の検証のために code_challenge と code_verifier を作成するとき) に保存する必要があります。独立したスタック/インフラストラクチャで実行されている承認サーバーがあります。
code_verifierreq.headersに保存する必要がありますか? (ドラフト Campbell OAuth TBPKCE-00を参照)
RFC6749に従っています