7. Considérations de sécurité
7.1 Entropie du code_verifier
Le modèle de sécurité repose sur le fait que le vérificateur de code n'est pas appris ou deviné par l'attaquant.
7.2 Protection contre les espions
Les clients ne doivent pas rétrograder vers "plain" après avoir essayé la méthode "S256".
7.3 Saler le code_challenge
Pour réduire la complexité d'implémentation, le salage n'est pas utilisé dans la production du défi de code.
7.4 Considérations de sécurité OAuth
Toute l'analyse de sécurité OAuth présentée dans [RFC6819] s'applique.
7.5 Considérations de sécurité TLS
Les considérations de sécurité actuelles peuvent être trouvées dans [BCP195].