認可コード横取り攻撃
#攻撃手法
ネイティブアプリが
Authorization Code Grant
を使う時に発生しうる攻撃。
カスタムスキームで期待したアプリが起動されるとは限らない、という点によって成立する。
Authorization Endpoint
->
Redirect Endpoint
へのリダイレクトを悪意のある別アプリが乗っ取り、
Authorization Code
を入手すること。
PKCE
を使うとこれを防ぐことができる。