OAuth 2.1 PKCE에서 code_verifier 길이가 라이브러리마다 달라요

Question

모바일 앱(React Native + expo-auth-session)과 백엔드(Node.js + openid-client) 사이 OAuth 2.1 PKCE 플로우를 구현 중입니다.

auth code 교환 단계에서 invalid_grant 에러가 떨어집니다. 디버깅해보니 클라이언트가 보낸 code_verifier 길이가 백엔드가 기대하는 것과 다릅니다.

RFC 7636을 보면 43~128자라 되어 있는데, 실제로는 라이브러리마다 다른 길이를 만드네요. 정확한 가이드라인이 궁금합니다.

김영삼 · Accepted Answer

RFC 7636 §4.1의 길이 규정은 명확한데, 라이브러리들이 "안전한 기본값"으로 다른 값을 쓰는 게 혼란의 원인입니다.RFC 7636 §4.1 정확한 규정code_verifier: 43~128자, charset = [A-Z][a-z][0-9]-._~ (unreserved)32바이트 random → base64url-encode 결과가 정확히 43자최소 256비트 엔트로피 권장라이브러리별 기본값라이브러리기본 길이엔트로피expo-auth-session128 (96바이트 → 128자)768비트openid-client (node)43 (32바이트 → 43자)256비트oauth4webapi43256비트AppAuth-iOS43~64 가변256~384비트MSAL.js43256비트실제 invalid_grant 원인길이 자체가 문제가 아니라 다음 중 하나일 가능성이 높습니다:1) URL safe base64 vs 일반 base64// 잘못된 예 (일반 base64)
const verifier

댓글 0