It's 2025, and Google #oauth2 still hasn't implemented #PKCE code flow without client secret for web SPAs

https://stackoverflow.com/questions/60724690/using-google-oidc-with-code-flow-and-pkce

#Hollo 0.6.0 is coming soon!

We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:

Enhanced #OAuth #security

• RFC 8414 (OAuth metadata discovery)
• RFC 7636 (#PKCE support)
• Improved authorization flows following RFC 9700 best practices

New features

• Extended character limit (4K → 10K)
• Code syntax highlighting
• Customizable profile themes
• EXIF metadata stripping for privacy

Important notes for update

• Node.js 24+ required
• Updated environment variables for asset storage
• Stronger SECRET_KEY requirements (44+ chars)

Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏

Full changelog and upgrade guide coming with the release.

#ActivityPub

Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF

В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.

https://habr.com/ru/articles/880544/

#аутентификация #authentication #pkce #backendforfrontend #bff #authorization_code_injection #confidential_clients #токен #session_id #httponly

New release of my #python #django #oauth #oidc #foss library https://pypi.org/project/django-oauth2-authcodeflow 🔑

Main changes are:
- Do not send the client secret, even if defined, with #PKCE by default ⚙️
- Fix for mysql InnoDB users 🩹
- A fix for usage with Azure Entra public app 🩹
- Allow to logout even when using the Django ModelBackend 🩹

Thanks a lot to contributors 👍

Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.

[Перевод] Аутентификация в SPA приложении через OpenAM используя OAuth2/OIDC

Данная статья будет полезна разработчикам браузерных (SPA) приложений, которые хотят настроить аутентификацию пользователей. Для аутентификации будет использоваться OAuth2/OIDC протокол c PKCE . В качестве сервера аутентификации будет использоваться сервер управления аутентификации с открытым исходным кодом OpenAM .

https://habr.com/ru/articles/796511/

#SSO #Аутентификация #oauth2 #oidc #spa #react #pkce #openam