1. Introduzione
I client pubblici OAuth 2.0 [RFC6749] sono suscettibili all'attacco di intercettazione del codice di autorizzazione (Authorization Code Interception Attack).
In questo attacco, l'attaccante intercetta il codice di autorizzazione restituito dal punto di terminazione di autorizzazione in un percorso di comunicazione non protetto da Transport Layer Security (TLS), come la comunicazione tra applicazioni all'interno del sistema operativo del client.
Una volta che l'attaccante ha ottenuto l'accesso al codice di autorizzazione, può utilizzarlo per ottenere il token di accesso (Access Token).
Per mitigare questo attacco, questa estensione utilizza una chiave crittografica casuale creata dinamicamente chiamata "verificatore del codice" (code verifier). Viene creato un verificatore del codice univoco per ogni richiesta di autorizzazione, e il suo valore trasformato, chiamato "sfida del codice" (code challenge), viene inviato al server di autorizzazione per ottenere il codice di autorizzazione.