PKCE 很重要的原因是，在移动操作系统上，操作系统允许应用程序注册以处理重定向 URI，因此恶意应用程序可以使用合法应用程序的授权代码注册和接收重定向。这称为授权码拦截攻击。

授权码拦截攻击

WSO2 在此处对此进行了描述：

由于可以将多个应用程序注册为特定重定向 URI 的处理程序，因此该流程的漏洞在于，恶意客户端也可以将自己注册为合法应用程序处理的相同 URI 方案的处理程序。如果发生这种情况，操作系统可能会将 URI 解析给恶意客户端。这种攻击的流程如下图所示。

在某些操作系统（如 Android）中，在流程的第 5 步中，会提示用户选择应用程序来处理重定向 URI，然后再使用“完成操作使用”活动对其进行解析。这可以避免恶意应用程序对其进行处理，因为用户可以识别并选择合法应用程序。但是，某些操作系统（例如 iOS）没有任何此类方案。

• 参考：https ://docs.wso2.com/display/IS520/Mitigating+Authorization+Code+Interception+Attacks

为了更好地理解这一点，这里有一个来自 OpenID 的图表和讨论。您可以看到移动系统浏览器有责任接收重定向 URI 并将其路由到正确的应用程序。

• 参考： http: //openid.net/2015/05/26/enhancing-oauth-security-for-mobile-applications-with-pkse/

但是，由于移动操作系统可以允许许多应用程序注册相同的重定向 URI，因此恶意应用程序可以注册并接收合法的授权代码，如下图所示，也是 WSO2：

PKCE 攻击缓解

PKCE 通过要求在发起 OAuth 2.0 请求（请求身份验证代码）的应用和将身份验证代码交换为令牌的应用之间共享知识来缓解这一问题。在 Auth Code Interception Attack 的情况下，恶意应用程序没有验证者来完成令牌交换。

Okta关于这个主题的这篇文章很好地解释了这一点，恕我直言。

我相信这是因为 PKCE 旨在用于本机应用程序（例如 Android、iOS、UWP、Electron 等），您可以在其中离开应用程序的安全上下文并转到浏览器进行身份验证，并依赖从安全返回到您的应用程序浏览器。您不一定在重定向回您的应用程序时使用 TLS（在自定义方案的情况下，您依赖操作系统将响应带回您的应用程序），因此如果您的授权代码出现恶意，接收如果没有动态密钥，应用程序将无法获取访问令牌。

公共客户端上的动态密钥的优点在这里很明显 - PKCE 的假设是不难拦截浏览器对应用程序的响应。