私とJohn Bradley(Ping)とNaveen Agarwal(Google)が共著者としてクレジットされている「OAuth PKCE(ピクシー)」 が、[RFC 7636] として発行されました。元々はOAuth SPOP (Symmetric Proof of Posession)と言っていたものですが、Symmetricに限らない形に拡張したため、Proof Key for Code Exchange (PKCE、ピクシー=妖精)と名を改めて現在に至っています。 この規格はOAuth 2.0 [RFC6749]のPublic Client の Code Interception Attack 脆弱性に対応するもので、ephemeral keyを生成して、これを使ったProof of Possession of Key をします。RFC6749と後方互換性がありますし実装も簡単
![OAuth PKCEがRFC7636として発行されました。](https://cdn-ak-scissors.b.st-hatena.com/image/square/7f253a564b600f6821c8daee04b7219bb99eb751/height=288;version=1;width=512/https%3A%2F%2Fi0.wp.com%2Fwww.sakimura.org%2Fwp-content%2Fuploads%2F2012%2F02%2Fietf-logo.gif%3Ffit%3D550%252C331%26ssl%3D1)