私とJohn Bradley(Ping)とNaveen Agarwal(Google)が共著者としてクレジットされている「OAuth PKCE(ピクシー)」 が、[RFC 7636] として発行されました。元々はOAuth SPOP (Symmetric Proof of Posession)と言っていたものですが、Symmetricに限らない形に拡張したため、Proof Key for Code Exchange (PKCE、ピクシー=妖精)と名を改めて現在に至っています。
この規格はOAuth 2.0 [RFC6749]のPublic Client の Code Interception Attack 脆弱性に対応するもので、ephemeral keyを生成して、これを使ったProof of Possession of Key をします。RFC6749と後方互換性がありますし実装も簡単ですので、以後はすべからずこちらを使えば良いと思います。
Eduardo Gueiros氏、James Manger氏、Brian Campbell氏、 Mike Jones氏、William Dennis氏、そしてこの規格のセキュリティ面の検討に参加してくださった皆様に深く御礼申し上げます。また同様に、OAuth working group の皆様、議長、エリア・ディレクター、この規格の策定にかかわられたIETFの皆様にも御礼もうしあげます。
なお、このOAuth PKCEは、 某社の動画サイトアプリ他に既に幅広く採用されていることを申し添えます。
[RFC6749] Hardt, D.: The OAuth 2.0 Authorization Framework (2012), https://tools.ietf.org/html/rfc6749